[WireShark] Wireshark 정의 및 다운로드

Wireshark 정의 및 다운로드

 

정의

와이어샤크(Wireshark)는 자유 및 오픈 소스 패킷 분석 프로그램으로 네트워크상에서 캡처한 데이터에 대한 네트워크 상위 레이어 프로토콜의 정보를 제공하고 패킷을 캡처하기 위해 pcap 네트워크 라이브러리를 사용한다.

 

특징

• 실시간 네트워크 연결의 유선으로부터 데이터를 포획하고, 이미 포획한 패킷을 기록해둔 파일로부터 데이터를 읽을 수 있다.
• 실시간 데이터를 이더넷, IEEE 802.11, PPP, 루프백을 포함한 수많은 네트워크로부터 읽을 수 있다.
• 포획한 네트워크 데이터는 GUI나 터미널 (명령 줄) 버전의 유틸리티 TShark를 통해 탐색할 수 있다.
• 포획한 파일들은 editcap 프로그램으로의 명령 줄 스위치를 통하여 프로그래밍하듯이 편집하거나 변환할 수 있다.
• 데이터 표현은 디스플레이 필터를 이용하여 정리할 수 있다.
• 새로운 프로토콜 분석을 위해 플러그인을 만들 수 있다.
• 포획한 트래픽 내의 VoIP 호출을 감지할 수 있다. 호환되는 인코딩으로 부호화되면 미디어 플로도 재생할 수 있다.
• 와이어샤크를 통해 순수 USB 트래픽을 포획할 수 있다.[2] 이 기능은 현재 리눅스에서만 이용할 수 있다.

인터페이스

Wireshark 초기화면

Wireshark 초기화면으로 가장 중요하게 확인할 것은 pcap 파일 불러오기 및 캡처 인터넷 선택 창이다.

pcap 파일 불러오기는 캡처된 네트워크 패킷을 불러오고 고정된 패킷에 대한 분석을 진행할 때 사용되며, Capture 창은 현재 진행 중인 Network 영역을 선택하여 분석할 수 있다. 이 떄 중요한 점은 자신이 분석하고 싶은 영역을 정확히 선택하여야 한다. 그러지 아니할 경우 송수신되는 네트워크 패킷을 확인할 수 없다.

Wireshark main Interface

Wireshark main Interface는 Menu, Filter, Packet List Pane, Packet Details Pane, Packet Byte Pane으로 4가지 영역으로 구성되어 있다.

• Menu: 네트워크 정밀 분석을 도와줄 수 있는 통계, 분석, 도움말, 저장 등 여러가지 도구가 있다.                         

  - "File" - "Edit" - "View" - "Go" - "Capture" - "Analyze" - "Statistics" - "Help"

  캡쳐 데이터를 열거나 저장합니다. 패킷을 찾거나 표시합니다. 프로그램 전역적인 속성들을 설정합니다. Wireshark 플랫폼의 보이는 모양을 설정합니다. 캡쳐된 데이터의 특정 위치로 이동합니다. 캡쳐 필터 옵션을 설정하고 캡쳐를 시작합니다. 분석 옵션을 설정합니다. Wireshark의 통계 데이터를 봅니다. 오프라인 혹은 온라인 도움말을 봅니다.

• Packet List: 네트워크 영역을 송/수신하는 패킷에 대한 가공된 모습
• Packet Details: 패킷에 대한 자세한 정보(2~7 계층 영역 확인가능)
• Packet Byte: 가공되지 않은 실제 패킷 데이터(Hex, Data)

TCP 상세 헤더 정보

 

다운로드 사이트

https://www.wireshark.org/download.html

 

 

 

참고자료

https://ko.wikipedia.org/wiki/%EC%99%80%EC%9D%B4%EC%96%B4%EC%83%A4%ED%81%AC