Wireshark 패킷분석툴 기본 사용법

안녕하세요 cloudv 사업부 김원진 사원입니다.  본문에서는 패킷분석툴의 하나인 Wireshark 설치방법 과 기본적인 사용법에 대하여 알아보겠습니다.

1.Wireshark 란 ? 

네트워크 패킷을 캡처하고 분석하는 오픈소스 도구이다.

처음엔 ‘ Ethereal ‘ 이라는 이름으로 나왔다가 이후에 상표문제로 ‘ Wireshark ‘로 바뀌었다.

강력하고 쉬운 사용법때문에 해킹뿐만 아니라 보안 취약점 분석, 보안 컨설팅 등 여러 분야에서 폭 넓게 사용된다.

1-1.Wireshark 기본 동작 개념

Noel과 Susan은 동일한 네트워크 구간에 위치해 있어서 이메일이나 메신저를 통해 소통하고 있습니다. 이때 한 제3자는 Wireshark를 활용하여 이 둘 간의 네트워크를 통과하는 데이터 패킷을 수신하고 기록합니다. 이 정보는 PCAP 파일 포맷으로 저장됩니다.

PCAP은 Packet Capture의 약자로, 네트워크 트래픽을 캡처하기 위한 API 구조를 나타냅니다. 특이하게도, Wireshark는 자체적으로 네트워크 트래픽을 캡처하지 않고, 운영체제에서 제공하는 캡처 라이브러리를 활용합니다.

유닉스 환경에서는 libpcap을 사용하고, 윈도우 환경에서는 Winpcap을 활용하여 이 작업을 수행합니다. 이를 통해 제3자는 Noel과 Susan 간의 통신 내용을 Wireshark를 통해 분석할 수 있습니다.

2. Wireshark 설치 방법

본문에서는 Windows Server 2019 Base OS 를 사용하여 설치하겠다,

각 OS 에 맞는 파일을 공식홈페이지에서 다운받아 사용하면 된다.

위 링크에 접속하면 위와같은 화면을 볼 수 있다 여기서 OS에 맞는 설치파일을 다운로드하여 사용한다.

파일을 다운로드하여 실행하면 다음과같은 화면이 나온다.

설치시에 Next 및 install 만 눌러주면 별 다른 문제없이 설치가 된다, 

Wireshark 는 패킷캡쳐 방식이기에 패킷캡쳐에 필요한 Npcap이 따로 설치가 되어있다면 이때 설치는 넘어가도 된다.

본문에서는 함께 설치하겠다.

다음은 Npcap 설치 약관의 대한 부분

설치를 완료하면 다음과같이 앱이 생긴다.  이제 기본 사용법에 대해 알아보겠다.

3. Wireshark 기본 사용법

처음 설치 후 실행 시 이런 화면을 볼 수 있다 

먼저 간단한 인터페이스에 대해 알아보겠다.

• 파일

  • 열기: 저장된 패킷 파일(dump)을 불러옵니다.

  • 저장: 수집한 패킷을 파일로 저장합니다.

  • 합치기: 여러 개의 수집한 패킷 파일을 선택하여 하나로 합칩니다.

  • 내보내기: 특정 패킷만을 선택하여 내보냅니다.

• 편집

  • 패킷 찾기: 특정 패킷을 찾을 수 있는 기능입니다.

  • 표시/숨기기: 특정 패킷을 찾는 데 사용되며, 마크 기능으로 표시가 가능합니다.

  • 무시하기: 불필요한 패킷을 무시할 수 있습니다.

  • 환경 설정: 패킷 프레임의 레이아웃, 폰트, 색상 등을 설정할 수 있습니다.

• 보기

  • 화면 구성 및 패킷 관리: 화면 구성 및 보여지는 패킷을 관리합니다.

  • 색상 설정: 패킷은 기본적으로 색상이 없지만, 와이어 샤크에서는 편의를 위해 구분을 위한 색상을 설정할 수 있습니다.

  • 색상 규칙: 색상을 관리하는 규칙을 설정합니다.

• 이동

  • 특정 패킷 이동: 특정 패킷을 찾거나 이동할 때 사용합니다.

  수집

  • 패킷 수집 관리: 패킷 수집을 일시 정지, 시작, 재시작 등을 관리합니다.

  분석

  • 선택한 패킷 분석: 선택한 패킷에 대한 관련된 패킷들만 볼 수 있습니다.

  통계

  • 패킷 분석 통계: 전체 패킷에 대한 요약된 분석 결과를 제공합니다.

  통신

  • VoIP 패킷 분석 (전화기): VoIP 패킷을 분석하는 기능입니다.

  무선

  • 무선 통신 관련 기능: 무선 통신을 볼 수 있는 기능을 제공합니다.

  도구

  • 와이어 샤크에 사용되는 도구: 다양한 도구를 활용할 수 있습니다.

  도움말

  • 도움말: Wireshark 사용에 도움이 되는 정보를 제공합니다.

3-1. 단축버튼

왼쪽부터 순서대로 다음과 같다. 

• 패킷 캡쳐 시작
• 패킷 캡처 멈춤
• 현재 캡처 다시 시작
• 캡처 옵션
• 파일 열기
• 현재 캡처 화면 저장
• 현재 캡처하고 있는 화면을 닫기
• pcap 파일을 새로고침
• 특정 패킷을 찾기
• 이전에 선택된 패킷으로 돌아가기
• 돌아오기 전에 선택되었던 앞의 패킷으로 돌아가기
• 지정된 패킷으로 이동
• 모든 패킷의 가장 상단 패킷으로 이동
• 모든 패킷의 가장 하단 패킷으로 이동
• 패킷 캡처를 하는 동안 자동으로 스크롤을 내린다.
• 색깔 규칙에 맞춰 패킷 색을 바꾼다.
• zoom in
• zoom out
• normal size
• 내용에 맞게 패킷 목록 열 크기 조정

3-1. Packet List 

• No. : 패킷이 수집된 순서
• Time : 패킷이 수집된 시간
• Source(패킷을 보낸 주소) ↔ Destination(패킷이 도착한 주소)
• Protocol : 패킷 프로토콜 정보
• Length : 패킷의 길이
• info : 패킷의 상세 정보

3-2. Wireshark Packet Details

Packet details 는 확인하고 싶은 패킷을 클릭하면 와이어샤크가 스스로 정리해놓은 패킷의 상세정보를 확인 할 수 있다.

4. Wireshark Packet Capture 

프로토콜을 icmp로 지정 후 실시간 패킷캡쳐를 시작한다.

 이후 해당 서버로 ping을 보내보았다.

실시간으로 발생하는 icmp 프로토콜의 패킷이 보인다.

이걸 파일로 저장도 가능하며 

해당 Wireshark 패킷 파일을 열어서 확인도 가능하다.

이상입니다.

Wireshark 공식 사이트 

스마일서브 기술 블로그