Wireshark 란
네트워크상에서 주고받는 메시지 데이터 블록의 기본 단위를 패킷이라고 부릅니다. 이메일을 보내거나, 파일을 다운로드받거나, 유튜브 동영상을 시청하는 등, 인터넷에 접속하여 우리가 행하는 모든 행위는 사실 패킷의 운송 과정을 통해 이뤄질 수 있는 것이죠.
알게 모르게 우리의 컴퓨터에서는 매초 많게는 수만 개의 패킷 데이터가 들어오고 빠져나가곤 합니다. 실시간 네트워크 분석을 위해 이 짧은 찰나에 발생하는 패킷 교환 과정을 포착하는 여러 가지 도구들이 제공되고 있으며, 그중 하나가 오늘 다루게 될 Wireshark입니다.
Wireshark는 가장 보편적인 무료 오픈 소스 네트워크 패킷 분석 프로그램입니다. 개별 패킷 내의 프로토콜 정보를 세부적으로 파악할 수 있으며 상당히 직관적인 GUI를 제공하기에, Wireshark는 네트워크상의 트러블 슈팅과 각종 보안 이슈를 진단하는 데 매우 유용하게 쓰여왔습니다. 그리고 Wireshark를 통한 패킷 분석은 비단 Ethernet 인터페이스에만 국한되지 않고, IEEE 802.11 (무선랜), Bluetooth 등과 같은 네트워크 환경에서 자주 활용되기도 합니다.
이 외에 Wireshark는 Windows, Linux, macOS, FreeBSD와 같이 여러 OS에서 동작 가능한 멀티 플랫폼을 지원하며, Tshark (Wireshark의 CLI 버전으로 보시면 됩니다), Capinfos, Mergecap 등 각종 유틸리티를 제공하는 점에서 네트워크 분야에 입문하시는 분들에겐 아주 유용한 실습 도구라고 할 수 있습니다.
Wireshark 설치 과정
Wireshark는 아래 주소에서 다운로드받을 수 있습니다. 이번 글에는 Windows에서의 설치 단계를 다루고 있으며 리눅스 환경에서의 설치 과정은 따로 포스트할 예정입니다.
▶ https://www.wireshark.org/download.html
1. 빨간색 박스 영역을 클릭해서 설치파일을 먼저 받도록 합니다.
2. 다운로드된 설치 파일을 실행시켜 ▶Next버튼을 선택하고 라이센스까지 동의합니다 (▶Noted)
3. 설치 요소는 기본적으로 아래 그림처럼 구성되어 있습니다. 딱히 건드리실 필요는 없으니 ▶ Next
4. Install 버튼까지 넘어오면 본격적으로 Wireshark의 설치가 진행됩니다. 여기서 설치 중간에 아래와 같이 생긴 창이 하나 더 생기는데요. 이는 Wireshark 실행에 필요한 Npcap이라는 드라이버를 따로 설치하기 위함이니 I Agree 버튼을 선택하시고 설치를 이어나가 주세요.
Npcap 설치가 완료되면 잠시 중단됬던 Wireshark 설치 과정이 재개되고, 곧이어 아래와 같이 설치가 모두 끝났다는 창이 생성됩니다. 설치된 Wireshark의 원활한 동작을 위해 재부팅을 하는 것이 원칙이지만, 제 경우에는 바로 실행할 수 있네요.
Wireshark 실행
하단 바에서 Wireshark를 검색하면 해당 앱이 리스트에 뜨는 것을 확인하실 수 있습니다.
Wireshark를 실행시키면 다음과 같은 UI가 나옵니다. 이더넷이라고 쓰인 영역을 주의 깊게 보시면 옆에 아날로그 신호같이 생긴 그래프가 그려지는 것을 확인하실 수 있습니다. 이 네트워크 인터페이스를 통해 데이터가 들어오고 나가는 양을 표현한다고 보시면 됩니다.
이더넷을 더블 클릭하면 창이 하나 더 생기면서 아래와 같이 생긴 테이블에 여러 값이 우수수 쏟아져 나오는 것을 보시게 될텐데요 (개인 IP는 blur처리 했습니다). 각 행이 하나의 패킷과 대응하며, 현재 인터넷에 접속해 있는 상태에서 수집되는 패킷들을 차례대로 나타나게 됩니다.
패킷 데이터 수집을 중단하기 위해선 상단 메뉴바에 빨간 박스를 클릭하면 됩니다.
위에서 보시는 인터페이스가 앞으로 패킷 분석을 하는 데에 계속 활용될 텐데요, 다음 포스트에서는 Wireshark를 활용해서 어떤 네트워크 정보들을 알아낼 수 있는지 간단한 실습을 통해 알아보고자 합니다.