와이어샤크(Wireshark)

와이어샤크(Wireshark)는 공식 홈페이지에서 무료로 다운로드하여 설치할 수 있으며, 몇 가지 기본 단계만 익히면 간단한 패킷 분석을 시작할 수 있습니다.

---

와이어샤크 설치 방법 (Windows 기준)

1. 공식 홈페이지 접속 및 다운로드
   • 와이어샤크 공식 다운로드 페이지에 접속합니다.
   • 자신의 운영 체제(OS)에 맞는 버전(Windows Installer 64-bit)을 찾아 다운로드합니다.
2. 설치 프로그램 실행
   • 다운로드한 설치 파일을 실행하고, Next를 눌러 설치를 진행합니다.
   • 라이선스 동의(Noted) 화면이 나오면 확인하고 넘어갑니다.
3. 구성 요소 선택 및 Npcap 설치
   • 구성 요소 선택 화면은 대부분 기본값을 유지하면 됩니다.
   • 설치 중간에 Npcap이라는 추가 프로그램 설치 화면이 나타납니다. Npcap은 와이어샤크가 실제로 네트워크 패킷을 수집할 수 있도록 해주는 핵심 드라이버이므로, 반드시 라이선스에 동의(Agree)하고 Install을 눌러 설치해야 합니다.
   • Npcap 설치가 끝나면 와이어샤크 설치도 마무리됩니다.

• macOS: brew install wireshark 명령어를 통해 Homebrew로 간단히 설치할 수 있습니다.
• Linux (Ubuntu): sudo apt install wireshark 명령어로 설치할 수 있습니다.

---

와이어샤크 기본 사용법

1. 캡처 시작하기 

와이어샤크를 실행하면 가장 먼저 네트워크 인터페이스(연결 장치) 목록이 나타납니다.

• 현재 인터넷에 연결된 인터페이스를 선택합니다. 보통 'Wi-Fi' 또는 '이더넷(Ethernet)' 옆에 실시간 트래픽 그래프가 활발하게 움직이는 것을 보고 선택할 수 있습니다.
• 원하는 인터페이스를 더블 클릭하거나 선택 후 왼쪽 상단의 상어 지느러미 아이콘(Start capturing packets)을 누르면 즉시 패킷 캡처가 시작됩니다.

2. 기본 화면 이해하기

패킷 캡처가 시작되면 화면에 실시간으로 데이터가 쏟아집니다. 와이어샤크의 기본 화면은 크게 세 부분으로 나뉩니다.

1. 패킷 목록 창 (Packet List Pane): 캡처된 패킷들의 요약 목록입니다. 시간, 출발지/목적지 IP, 프로토콜 등 핵심 정보가 표시됩니다.
2. 패킷 상세 정보 창 (Packet Details Pane): 목록에서 특정 패킷을 선택하면, 해당 패킷의 모든 계층별 정보(물리, 데이터링크, 네트워크, 전송 계층 등)를 트리 구조로 자세히 볼 수 있습니다.
3. 패킷 바이트 창 (Packet Bytes Pane): 패킷의 실제 데이터 값을 16진수(Hex)와 아스키(ASCII) 코드로 보여줍니다.

3. 필터링하기 

수많은 패킷 중에서 원하는 정보만 골라보는 필터링은 와이어샤크의 핵심 기능입니다.

• 화면 상단의 'Apply a display filter' 입력창에 특정 규칙을 입력하면 됩니다.
• 자주 사용하는 필터 예시:
  • ip.addr == 192.168.0.10: 특정 IP 주소가 포함된 모든 패킷 보기
  • http: HTTP 프로토콜만 보기
  • dns: DNS 요청 및 응답만 보기
  • tcp.port == 443: TCP 포트 443(HTTPS)을 사용하는 패킷만 보기

dns 필터링

4. 통신 내용 재조합해서 보기 (Follow TCP Stream)

암호화되지 않은 통신(HTTP 등)의 경우, 주고받은 대화 내용을 사람이 읽기 쉽게 재구성해 볼 수 있습니다.

• 패킷 목록 창에서 분석하고 싶은 HTTP 패킷을 마우스 오른쪽 버튼으로 클릭합니다.
• Follow > TCP Stream 메뉴를 선택합니다.
• 새로운 창이 뜨면서 클라이언트(내 PC)와 서버가 주고받은 요청과 응답 메시지 전체를 대화 형식으로 보여줍니다. 이를 통해 어떤 데이터를 주고받았는지 쉽게 파악할 수 있습니다.

실제 주고받은 데이터