와이어샤크

"오늘의AI위키"는 AI 기술로 일관성 있고 체계적인 최신 지식을 제공하는 혁신 플랫폼입니다.
"오늘의AI위키"의 AI를 통해 더욱 풍부하고 폭넓은 지식 경험을 누리세요.

1. 개요
2. 역사
- 2.1. 개발 배경
- 2.2. 명칭 변경 및 발전
3. 기능
4. 지원 환경
- 4.1. 지원 운영체제
- 4.2. 패킷 캡처 라이브러리
5. 보안
- 5.1. 보안 문제 해결
- 5.2. 관리자 권한 없이 사용하는 방법
6. 시뮬레이션 패킷 캡처
참조

1. 개요

와이어샤크는 네트워크 프로토콜 분석을 위한 오픈 소스 소프트웨어로, 1990년대 후반 제럴드 콤스에 의해 개발되었다. 이 프로그램은 800개 이상의 프로토콜을 분석하고, 실시간 네트워크 연결의 데이터를 캡처하거나 저장된 패킷 파일에서 데이터를 읽을 수 있으며, 다양한 운영체제에서 지원된다. 와이어샤크는 Ethereal이라는 이름으로 시작되었으나, 상표 문제로 인해 Wireshark로 이름이 변경되었고, 여러 차례 후원 및 재단 설립을 거쳐 현재 Sysdig가 주요 후원사로 활동하고 있다. 와이어샤크는 GUI를 통해 직관적인 인터페이스를 제공하며, 데이터 캡처 및 분석, 편집, 변환 기능을 제공한다.

더 읽어볼만한 페이지

네트워크 분석기 - 패킷 분석기
패킷 분석기는 네트워크 트래픽을 캡처, 기록, 분석하는 도구로, 네트워크 문제 분석, 침입 탐지, 규정 준수 문서화 등 다양한 목적으로 활용되며 소프트웨어나 하드웨어 형태로 제공된다.
네트워크 분석기 - Aircrack-ng
Aircrack-ng는 크리스토프 데빈이 개발하고 토마스 D'Otreppe에 의해 포크된 무선 네트워크 보안 분석 및 테스트 도구 모음으로, WEP, WPA, WPA2 등의 보안 취약점을 분석하고 공격하는 데 사용된다.
Qt를 사용하는 소프트웨어 - 캘리버
캘리버는 다양한 전자책 파일 형식과 단말기를 지원하는 오픈소스 소프트웨어로, 편집, 변환, 메타데이터 관리, 라이브러리 검색, 온라인 콘텐츠 수집, 원격 액세스, 전자책 제작 등의 기능을 제공하며, 플러그인을 통해 DRM 제거도 가능하다.
Qt를 사용하는 소프트웨어 - GNU 옥타브
GNU 옥타브는 MATLAB과 높은 호환성을 가지며 수치 해석 계산을 위해 사용되는 자유-오픈 소스 소프트웨어이다.
C++로 작성된 자유 소프트웨어 - 클램윈
클램윈은 ClamAV 엔진 기반의 오픈 소스 백신 소프트웨어로, 트로이 목마, 바이러스, 멀웨어 등 다양한 악성 위협 분석 자료를 제공하며 예약 검사, 수동 검사, 컨텍스트 메뉴 통합 등의 기능을 지원하지만 실시간 감시 기능은 제공하지 않는다.
C++로 작성된 자유 소프트웨어 - VirtualDub
VirtualDub은 윈도우 운영 체제에서 실행되는 무료 오픈 소스 비디오 캡처 및 처리 유틸리티이며, AVI 파일을 주로 처리하고 플러그인을 통해 다른 파일 형식도 지원하며, 동영상 캡처, 편집, 비디오 처리 및 필터 기능을 제공한다.

와이어샤크 - [IT 관련 정보]에 관한 문서
기본 정보
Wireshark 로고
개발자	Wireshark 팀
최초 릴리스	1998년
운영체제	크로스 플랫폼
프로그래밍 언어	C, C++, Lua
종류	패킷 분석기
라이선스	GPL-2.0-or-later
웹사이트	Wireshark 공식 웹사이트
기타
저자	Gerald Combs
프로그래밍 언어	C, C++, Lua, Python, Perl, CMake
지원 플랫폼	Windows, Linux, Mac OS X

2. 역사

와이어샤크는 1990년대 후반 제럴드 콤스(Gerald Combs)가 Ethereal이라는 이름으로 처음 개발한 네트워크 프로토콜 분석기이다.^[6] 당시 고가의 상용 분석 프로그램을 대체하고 Solaris 및 리눅스 환경에서 사용하기 위해 개발되었으며, 1998년 첫 버전이 공개되었다.^[6]^[31]

2006년, Ethereal의 상표권 문제로 인해 프로젝트 이름이 Wireshark로 변경되었다.^[7]^[32] 이름 변경 이후에도 제럴드 콤스가 개발을 주도했으며, 소스 코드는 GNU GPL에 따라 공개되어 많은 개발자들의 기여를 통해 발전해왔다.^[21] 초기 CACE 테크놀로지스의 지원을 시작으로^[7], 2010년 리버베드 테크놀로지^[8]^[34], 2022년 시스디그(Sysdig)를 거쳐^[10], 2023년에는 와이어샤크 재단(Wireshark Foundation)이 설립되어 운영되고 있다.^[10]

Wireshark는 그 기능성과 유용성을 인정받아 ''eWeek'',^[12] ''InfoWorld'',^[13]^[14]^[15]^[16]^[17] ''PC Magazine''^[18] 등 여러 매체로부터 상을 받았으며^[11], 네트워크 보안 도구 설문 조사에서도 높은 평가를 받았다.^[19] SourceForge에서 이달의 프로젝트로 선정되기도 했다.^[20]

2. 1. 개발 배경

1990년대 후반, 미주리-캔자스시티 대학교 컴퓨터 과학 졸업생인 제럴드 콤스(Gerald Combs)는 작은 인터넷 서비스 제공업체인 네트워크 통합 서비스(Network Integration Services)에서 근무했다. 당시 상업용 프로토콜 분석 제품은 약 1500USD였고^[5], 회사의 주 플랫폼(Solaris와 리눅스)에서는 실행되지 않았다. 이러한 배경에서 제럴드는 Ethereal 개발을 시작하여 1998년경 첫 번째 버전을 출시했다.^[6] Ethereal의 상표는 네트워크 통합 서비스가 소유했다.

2006년 5월, 콤스는 로리스 데지오반니(Loris Degioanni)와 함께 CACE 테크놀로지스(CACE Technologies)에 입사했다. 콤스는 Ethereal 소스 코드 대부분에 대한 저작권을 가지고 있었고(나머지는 GNU GPL 하에 재배포 가능), Ethereal의 Subversion 저장소 내용을 Wireshark 저장소의 기반으로 사용했다. 그러나 Ethereal 상표를 소유하고 있지 않았으므로 이름을 Wireshark로 변경했다.^[7] 이후 Ethereal 개발은 중단되었고, Ethereal 보안 권고는 Wireshark로 전환할 것을 권장했다.^[9]

Wireshark의 후원은 여러 차례 변경되었다. 2010년 리버베드 테크놀로지가 CACE를 인수하며^[8] 주요 후원사가 되었다. 이후 2022년, 시스디그(Sysdig)가 주요 후원사가 되었고, 2023년에는 시스디그가 와이어샤크 재단(Wireshark Foundation)을 설립하여 Wireshark를 재단에 포함시켰다.^[10]

Wireshark는 수년에 걸쳐 여러 업계 상을 수상했으며,^[11] 여기에는 ''eWeek'',^[12] ''InfoWorld'',^[13]^[14]^[15]^[16]^[17] 및 ''PC Magazine''^[18] 등이 포함된다. 또한 Insecure.Org 네트워크 보안 도구 설문 조사에서 최고 등급의 패킷 스니퍼로 선정되었고^[19], 2010년 8월에는 SourceForge 이달의 프로젝트로 선정되기도 했다.^[20]

콤스는 Wireshark의 전반적인 코드를 계속 유지하며 새로운 버전의 소프트웨어를 출시하고 있다. 제품 웹사이트에는 2,000명 이상의 기여 저자가 등재되어 있다.^[21]

2. 2. 명칭 변경 및 발전

1990년대 후반, 미주리-캔자스시티 대학교 컴퓨터 과학 졸업생인 제럴드 콤스(Gerald Combs)는 작은 인터넷 서비스 제공업체인 네트워크 통합 서비스(Network Integration Services)에서 일하고 있었다. 당시 상업용 프로토콜 분석 제품의 가격은 약 1500USD였고^[5], 회사의 주요 플랫폼(Solaris와 리눅스)에서는 실행되지 않았다. 이러한 이유로 제럴드는 Ethereal 개발을 시작하여 1998년경 첫 번째 버전을 출시했다.^[6] Ethereal의 상표는 네트워크 통합 서비스가 소유했다.

2006년 5월, 콤스는 로리스 데지오반니(Loris Degioanni)와 함께 WinPcap 개발 및 판매에 관여했던^[32] CACE 테크놀로지스(CACE Technologies)에 입사했다. 콤스는 Ethereal 소스 코드 대부분에 대한 저작권을 가지고 있었고(나머지는 GNU GPL 하에 재배포 가능), Ethereal의 Subversion 저장소 내용을 Wireshark 저장소의 기반으로 사용했다. 그러나 그는 Ethereal 상표를 소유하고 있지 않았으므로 이름을 Wireshark로 변경했다.^[7] Ethereal 개발은 중단되었고, Ethereal 보안 권고는 Wireshark로 전환할 것을 권장했다.^[9]^[33]

2010년 리버베드 테크놀로지는 CACE를 인수^[8]^[34]하여 Wireshark의 주요 후원자가 되었다. 이후 2022년에는 시스디그(Sysdig)가 Wireshark의 주요 후원자가 되었고, 2023년 시스디그는 Wireshark 재단을 설립하고 Wireshark를 재단에 포함시켰다.^[10]

Wireshark는 수년에 걸쳐 여러 업계 상을 수상했으며,^[11] 여기에는 ''eWeek'',^[12] ''InfoWorld'',^[13]^[14]^[15]^[16]^[17] 및 ''PC Magazine''이 포함된다.^[18] 또한 Insecure.Org 네트워크 보안 도구 설문 조사에서 최고 등급의 패킷 스니퍼로 선정되었고^[19], 2010년 8월에는 SourceForge의 이달의 프로젝트로 선정되었다.^[20]

콤스는 Wireshark의 전반적인 코드를 계속 유지하고 새로운 버전의 소프트웨어를 릴리스하고 있다. 제품 웹사이트에는 2,000명 이상의 기여 저자가 등재되어 있다.^[21]

3. 기능

와이어샤크는 네트워크 패킷 분석을 위한 강력하고 널리 사용되는 오픈 소스 도구이다. tcpdump와 유사한 기능을 제공하지만, 그래픽 사용자 인터페이스(GUI)를 갖추고 있어 사용 편의성이 높으며, 다양한 정렬 및 필터링 옵션을 제공한다.^[28]

주요 기능으로는 실시간 네트워크 트래픽 캡처 및 이미 저장된 캡처 파일 분석이 있다. 이더넷, IEEE 802.11 (Wi-Fi), PPP, 루프백 등 다양한 네트워크 인터페이스에서 데이터를 수집할 수 있으며, 리눅스, BSD, macOS 환경에서는 무선 네트워크 인터페이스 컨트롤러를 모니터 모드로 설정하여 무선 트래픽을 상세히 분석하는 것도 가능하다. 또한, 네트워크 인터페이스 컨트롤러가 지원하는 경우 무차별 모드(promiscuous mode)를 활성화하여 해당 네트워크 세그먼트를 통과하는 모든 패킷을 캡처할 수 있다.

와이어샤크는 IP, TCP, UDP, ICMP, DHCP 등 수백 가지(원본 소스에서는 800개 이상 언급)의 통신 프로토콜 구조를 이해하고 각 필드의 의미를 해석하여 보여줄 수 있다. 사용자는 강력한 디스플레이 필터를 사용하여 원하는 패킷만 선별적으로 확인하거나, 특정 조건에 맞는 패킷에 색상을 지정하여^[28] 트래픽 흐름을 직관적으로 파악할 수 있다.

캡처된 데이터는 pcap 라이브러리(libpcap, WinPcap, Npcap) 기반의 파일 형식(pcap, pcapng)으로 저장되며, tcpdump, CA NetMaster, snoop,^[24] Network General의 Sniffer,^[25] 마이크로소프트 네트워크 모니터^[26] 등 다른 네트워크 분석 도구와의 파일 호환성도 뛰어나다. 명령 줄 유틸리티인 TShark를 통해 터미널 환경에서도 분석 작업을 수행할 수 있으며, editcap 유틸리티를 이용해 캡처 파일을 편집하거나 변환하는 것도 가능하다.

이 외에도 플러그인을 통해 새로운 프로토콜 분석 기능을 추가하거나,^[22] 캡처된 트래픽에서 VoIP 통화를 감지하고 재생하며, 리눅스 환경에서는 원시 USB 트래픽을 캡처하는^[36]^[23] 등 다양한 고급 기능을 제공한다. 와이어샤크는 Windows, 리눅스, macOS, BSD 등 여러 운영체제에서 사용할 수 있다.

3. 1. 데이터 캡처

와이어샤크는 tcpdump와 매우 비슷하지만 그래픽 사용자 인터페이스(GUI)를 갖추고 있으며, 정렬 및 필터링 옵션이 추가되었다는 점에서 차이가 있다.

와이어샤크는 사용자가 네트워크 인터페이스를 무차별 모드(promiscuous mode)로 설정할 수 있게 해준다(해당 인터페이스가 지원하는 경우). 이를 통해 인터페이스에서 볼 수 있는 모든 트래픽, 즉 해당 인터페이스의 구성 주소로 향하는 트래픽뿐만 아니라 브로드캐스트 및 멀티캐스트 트래픽까지 캡처할 수 있다. 그러나 네트워크 스위치의 특정 포트에서 무차별 모드로 패킷을 캡처할 때, 스위치를 통과하는 모든 트래픽이 반드시 해당 캡처 포트를 거치는 것은 아니다. 따라서 무차별 모드만으로는 네트워크의 모든 트래픽을 확인하기 어려울 수 있으며, 포트 미러링이나 다양한 네트워크 탭을 사용하여 네트워크의 특정 지점까지 캡처 범위를 확장할 수 있다.

리눅스, BSD, macOS에서는 libpcap 1.0.0 버전 이후부터 와이어샤크 1.4 버전 이상을 사용할 경우, Wi-Fi 어댑터를 모니터 모드로 설정하여 무선 네트워크 트래픽을 캡처할 수 있다.

또한, 원격 컴퓨터에서 패킷을 캡처하고 TZSP 프로토콜이나 OmniPeek에서 사용하는 프로토콜을 통해 와이어샤크가 실행 중인 컴퓨터로 전송하면, 와이어샤크는 이 패킷들을 분석하여 원격지에서 발생한 트래픽을 실시간으로 확인할 수 있다.

와이어샤크는 다양한 네트워크 프로토콜의 구조(캡슐화)를 이해하고 분석하는 소프트웨어로, 각 프로토콜이 정의한 필드와 그 의미를 파악하여 상세 정보와 요약 정보를 보여줄 수 있다. 와이어샤크는 pcap 라이브러리를 사용하여 패킷을 캡처하므로, pcap이 지원하는 네트워크 유형의 패킷만 캡처할 수 있다.

주요 데이터 캡처 기능은 다음과 같다.

실시간 네트워크 연결로부터 데이터를 직접 캡처하거나, 이미 저장된 캡처 파일로부터 데이터를 읽을 수 있다.
이더넷, IEEE 802.11, PPP, 루프백 등 다양한 유형의 네트워크에서 실시간 데이터를 읽을 수 있다.
캡처된 네트워크 데이터는 GUI 환경이나 터미널(명령 줄 인터페이스) 버전인 TShark 유틸리티를 통해 탐색할 수 있다.
캡처된 파일은 'editcap' 프로그램을 통해 명령 줄 옵션을 사용하여 프로그래밍 방식으로 편집하거나 변환할 수 있다.
데이터 표시는 디스플레이 필터를 사용하여 원하는 정보만 필터링하여 볼 수 있다.
새로운 프로토콜 분석을 위해 플러그인을 개발하여 기능을 확장할 수 있다.^[22]
캡처된 트래픽 내에서 VoIP 통화를 감지할 수 있으며, 호환되는 코덱으로 인코딩된 경우 미디어 스트림을 재생할 수도 있다.
원시 USB 트래픽을 캡처할 수 있다. 이 기능은 현재 리눅스에서만 지원된다.^[23]^[36]
다양한 설정, 타이머, 필터를 적용하여 캡처된 트래픽의 출력을 제어할 수 있다.

와이어샤크의 기본 네트워크 추적 파일 형식은 libpcap, WinPcap, Npcap 등에서 사용되는 libpcap 형식이며, 최신 버전에서는 pcapng 형식도 지원한다. 이 덕분에 tcpdump나 CA NetMaster와 같이 동일한 형식을 사용하는 다른 애플리케이션과 캡처 파일을 교환할 수 있다. 또한, snoop,^[24] Network General의^[25] Sniffer, 마이크로소프트 네트워크 모니터^[26] 등 다른 네트워크 분석 도구에서 생성된 캡처 파일도 읽을 수 있다.

와이어샤크는 IP, DHCP 등 800개 이상의 통신 프로토콜을 분석할 수 있으며, Windows, 리눅스, BSD, macOS 등 다양한 운영체제에서 사용할 수 있다. 802.11 계열의 무선 패킷 캡처를 위한 확장 기능과 산업용 이더넷(예: EtherCAT) 통신 규약 분석 라이브러리, 분석 결과 통계 처리 소프트웨어 등도 지원한다.

3. 2. 데이터 분석

와이어샤크는 다양한 네트워크 프로토콜의 구조(캡슐화)를 이해하고 분석하는 소프트웨어다. 이를 통해 각 프로토콜이 정의한 패킷의 의미와 함께 필드 및 요약 정보를 상세히 보여줄 수 있다. 와이어샤크는 pcap 라이브러리를 사용하여 패킷을 캡처하므로, pcap이 지원하는 네트워크 유형의 패킷만 캡처할 수 있다.

와이어샤크의 주요 데이터 분석 기능은 다음과 같다.

실시간 네트워크 연결로부터 직접 데이터를 캡처하거나, 이미 캡처되어 파일로 저장된 패킷 데이터를 읽어 분석할 수 있다.
실시간 데이터는 이더넷, IEEE 802.11, PPP, 루프백 등 다양한 종류의 네트워크 인터페이스에서 읽어올 수 있다.
캡처된 네트워크 데이터는 GUI 환경이나 터미널(명령 줄) 기반의 TShark 유틸리티를 통해 탐색하고 분석할 수 있다.
캡처된 파일은 'editcap'이라는 명령 줄 프로그램을 이용하여 프로그래밍 방식으로 편집하거나 다른 형식으로 변환할 수 있다.
디스플레이 필터 기능을 사용하여 방대한 양의 데이터 중에서 원하는 정보만 선별하여 표시할 수 있다.
플러그인 아키텍처를 지원하여, 사용자가 직접 새로운 프로토콜 분석 기능을 개발하고 추가할 수 있다.^[22]
캡처된 트래픽 내에서 VoIP 통화를 감지할 수 있으며, 호환되는 코덱으로 인코딩된 경우 미디어 스트림을 재생하는 것도 가능하다.
리눅스 환경에서는 순수 USB 트래픽을 캡처하고 분석하는 기능을 제공한다.^[36]^[23]
모니터링되는 이더넷을 통과하는 무선 연결 트래픽도 필터링하고 분석할 수 있다.
다양한 설정, 타이머, 필터를 적용하여 캡처된 트래픽의 출력을 세밀하게 제어할 수 있다.
패킷 목록에서 특정 필드 값과 일치하는 규칙에 따라 패킷에 색상을 지정하여 트래픽 유형을 시각적으로 빠르게 파악할 수 있도록 돕는다. 기본 규칙 외에도 사용자가 직접 규칙을 수정, 추가, 삭제할 수 있다.^[28]

와이어샤크는 IP, DHCP를 포함하여 800개 이상의 다양한 프로토콜을 분석할 수 있다. 또한, Windows, 리눅스, BSD, macOS 등 여러 운영체제에서 사용할 수 있다.

와이어샤크의 기본 네트워크 추적 파일 형식은 libpcap, WinPcap, 및 Npcap에서 지원하는 libpcap 형식이지만, 최신 버전의 libpcap에서 지원하는 pcapng 형식도 사용 가능하다. 이 덕분에 tcpdump나 CA 넷마스터 등 동일한 형식을 사용하는 다른 네트워크 분석 도구들과 캡처 파일을 상호 교환할 수 있다. 뿐만 아니라, snoop,^[24] Network General의^[25] Sniffer, 마이크로소프트 네트워크 모니터^[26] 등 다른 네트워크 분석 프로그램에서 생성된 캡처 파일도 읽어들여 분석할 수 있다.

이 외에도 802.11 계열 무선 패킷 캡처를 위한 확장 기능이나, EtherCAT과 같은 산업용 이더넷 통신 규약 분석 라이브러리, 분석 결과의 통계 처리를 위한 추가 소프트웨어 등 다양한 부가 기능을 지원한다.

3. 3. 데이터 편집 및 변환

와이어샤크로 포획한 파일은 명령줄 유틸리티인 "editcap"을 사용하여 프로그래밍 방식으로 편집하거나 다른 형식으로 변환할 수 있다.

와이어샤크의 기본 네트워크 추적 파일 형식은 pcap 라이브러리(libpcap, WinPcap, Npcap)가 지원하는 libpcap 형식이다. 이를 통해 tcpdump, CA NetMaster 등 동일한 형식을 사용하는 다른 애플리케이션과 캡처 파일을 교환할 수 있다. 또한, 최신 버전의 libpcap에서 사용하는 pcapng 형식도 지원한다.

와이어샤크는 다른 네트워크 분석기에서 캡처한 파일도 읽을 수 있다. 예를 들어, snoop,^[24] Network General의^[25] Sniffer^[26], Microsoft Network Monitor^[26] 등 다양한 프로그램의 파일 형식을 지원한다.

3. 4. 기타 기능

와이어샤크는 다양한 네트워크 분석 기능을 제공하며, 다른 도구와의 호환성도 뛰어나다.

파일 형식 호환성: 와이어샤크는 libpcap, WinPcap, 및 Npcap에서 사용하는 libpcap 형식을 기본 네트워크 추적 파일 형식으로 사용한다. 이 덕분에 tcpdump나 CA 넷마스터와 같이 동일한 형식을 사용하는 다른 프로그램들과 캡처 파일을 쉽게 교환할 수 있다. 최신 버전에서는 pcapng 형식도 지원한다. 또한, snoop,^[24] Network General의^[25] 스니퍼, 마이크로소프트 네트워크 모니터^[26] 등 다른 네트워크 분석 도구에서 생성된 캡처 파일도 읽어 들일 수 있다.

광범위한 프로토콜 및 운영체제 지원: IP, DHCP를 포함하여 800개 이상의 프로토콜 분석 기능을 갖추고 있다. Windows, 리눅스, BSD, macOS 등 주요 운영체제에서 사용할 수 있다.

데이터 캡처 및 처리:
실시간 네트워크 연결(이더넷, IEEE 802.11, PPP, 루프백 등)에서 직접 데이터를 캡처하거나, 이미 저장된 캡처 파일에서 데이터를 읽을 수 있다.
캡처된 데이터는 GUI 환경이나 터미널(명령 줄) 기반 유틸리티인 TShark를 통해 탐색할 수 있다.
`editcap` 프로그램을 사용하여 명령 줄 환경에서 캡처 파일을 편집하거나 변환할 수 있다.
표시 필터를 이용해 분석하려는 데이터만 선별하여 볼 수 있으며, 다양한 설정, 타이머, 필터를 조합하여 캡처 및 출력 결과를 세밀하게 제어할 수 있다.

고급 분석 기능:
무선 네트워크 분석: IEEE 802.11 표준 기반의 무선 랜 패킷을 캡처하고 분석하는 확장이 포함되어 있다. Linux, BSD, macOS 환경에서 libpcap 1.0.0 이상 버전과 함께 와이어샤크 1.4 이상 버전을 사용하면, 무선 네트워크 인터페이스 컨트롤러를 모니터 모드로 설정하여 더 넓은 범위의 무선 트래픽을 캡처할 수 있다.
산업용 네트워크 지원: EtherCAT과 같은 산업용 이더넷 통신 규약을 분석할 수 있는 라이브러리를 제공한다.
VoIP 분석: 캡처된 네트워크 트래픽에서 VoIP 통화를 자동으로 감지할 수 있다. 만약 통화 내용이 호환 가능한 방식으로 인코딩되어 있다면, 해당 미디어 스트림을 직접 재생하여 들어볼 수도 있다.
USB 트래픽 캡처: 순수한 USB 통신 트래픽을 직접 캡처하는 기능을 제공한다. 단, 이 기능은 현재 리눅스 운영체제에서만 사용할 수 있다.^[36]^[23]
원격 패킷 캡처: 다른 컴퓨터에서 패킷을 캡처한 후, TZSP 프로토콜이나 OmniPeek에서 사용하는 프로토콜을 통해 와이어샤크가 실행 중인 컴퓨터로 전송하여 실시간으로 분석할 수 있다.
프롬이큐어스 모드: 네트워크 인터페이스 컨트롤러가 지원하는 경우, 프롬이큐어스 모드로 설정하여 해당 네트워크 인터페이스를 통과하는 모든 트래픽(자신의 MAC 주소로 지정되지 않은 패킷 포함)을 캡처할 수 있다. 하지만 네트워크 스위치 환경에서는 모든 트래픽을 확인하기 위해 포트 미러링이나 네트워크 탭과 같은 추가적인 설정이 필요할 수 있다.

확장성:
사용자가 직접 플러그인을 만들어 새로운 네트워크 프로토콜 분석 기능을 추가할 수 있다.^[22]
캡처된 데이터를 기반으로 다양한 통계 정보를 생성하고 분석하는 기능을 지원한다.

4. 지원 환경

와이어샤크는 tcpdump와 유사하지만, 그래픽 사용자 인터페이스(GUI)를 제공하며 정렬 및 필터링 옵션이 추가되었다는 차이점이 있다.

주요 기능 중 하나는 사용자가 네트워크 인터페이스를 무차별 모드(promiscuous mode)로 설정하여 해당 인터페이스를 통과하는 모든 트래픽(자신의 주소로 오지 않는 패킷 포함)을 캡처하는 것이다. 이를 통해 인터페이스의 구성 주소와 브로드캐스트, 멀티캐스트 트래픽을 포함한 모든 트래픽을 볼 수 있다. 하지만 네트워크 스위치 환경에서는 스위치를 통과하는 모든 트래픽이 특정 포트로 전달되지 않을 수 있으므로, 무차별 모드만으로는 전체 네트워크 트래픽을 파악하기 어려울 수 있다. 이러한 한계를 극복하기 위해 포트 미러링이나 네트워크 탭과 같은 기술을 사용하여 캡처 범위를 확장할 수 있다. 단순한 수동 탭(passive tap)은 악성 코드 탬퍼링 방지 기능이 매우 뛰어나다.

와이어샤크는 다양한 운영체제를 지원하며, 리눅스, BSD, 맥 OS X, 윈도우 등 여러 환경에서 사용할 수 있다. 패킷 캡처 기능은 각 운영체제에 맞는 패킷 캡처 라이브러리를 기반으로 동작한다.^[35]

4. 1. 지원 운영체제

와이어샤크의 패킷 캡처 기능은 운영체제에 따라 다른 라이브러리를 사용한다. 유닉스 기반 운영체제에서는 libpcap을 사용하며, 윈도우 버전에서는 함께 제공되는 WinPcap을 사용한다.

맥OS 버전의 경우, 과거에는 X 윈도 시스템 환경에서 작동하는 버전이 있었다. macOS 10.6 스노 레퍼드 이후 버전부터는 X 윈도 시스템 없이 실행되는 애플리케이션도 지원한다.^[35] 현재 맥OS에서는 Homebrew를 이용하여 `brew install --cask wireshark` 명령어로 애플리케이션을 설치할 수 있다.

4. 2. 패킷 캡처 라이브러리

와이어샤크의 패킷 캡처 기능은 운영체제에 따라 다른 라이브러리를 기반으로 한다. 유닉스 계열 OS에서는 libpcap 라이브러리가 패킷 캡처를 담당하며, Windows 버전에서는 WinPcap 또는 그 후속 프로젝트인 Npcap 라이브러리를 사용한다.^[36] 리눅스, BSD, 맥 OS X에서는 libpcap 1.0.0 이후 버전과 와이어샤크 1.4 이후 버전부터 와이파이 어댑터를 감시 모드(monitor mode)로 설정하여 패킷을 캡처할 수 있게 되었다.

매킨토시 버전의 경우, 과거에는 X Window 환경에서 작동하는 버전이 있었다. 하지만 Mac OS X 10.6 이후 버전부터는 X Window 시스템 없이 네이티브 애플리케이션으로 제공된다.^[35] 현재 매킨토시 버전은 Homebrew를 이용하여 'brew cask install wireshark' 명령어로 설치할 수 있다.

5. 보안

와이어샤크를 사용하여 네트워크 트래픽을 캡처할 때는 보안 관련 고려 사항이 존재한다. 특히 일부 운영체제에서는 원시 네트워크 트래픽을 캡처하기 위해 관리자 권한이 필요한 경우가 있는데, 이는 과거 와이어샤크(및 이전 버전인 Ethereal)에서 보안 취약점으로 이어진 사례가 있다.^[27] 예를 들어, OpenBSD는 이러한 보안 문제 때문에 과거 Ethereal을 포트 트리에서 제거하기도 했다.^[27]

와이어샤크는 이러한 문제를 인지하고 있으며, 버전 업데이트를 통해 보안을 강화하는 방향으로 개선되었다. 와이어샤크 0.99.7 버전부터는 트래픽 캡처를 위해 별도의 ''dumpcap'' 유틸리티를 사용하며, 관리자 권한이 필요한 경우 ''dumpcap''만 해당 권한으로 실행하고 와이어샤크 자체는 일반 사용자 권한으로 실행하도록 권장된다. 이를 통해 슈퍼유저 권한으로 와이어샤크 전체를 실행할 때 발생할 수 있는 보안 위험을 줄일 수 있다.

무선 네트워크 환경에서는 Aircrack과 같은 도구를 사용하여 IEEE 802.11 프레임을 캡처한 후 와이어샤크로 분석하는 방법도 활용된다. 와이어샤크 사용과 관련된 구체적인 보안 문제 및 해결 방안에 대한 자세한 내용은 하위 섹션에서 확인할 수 있다.

5. 1. 보안 문제 해결

네트워크 인터페이스에서 원시 네트워크 트래픽을 캡처하려면 일부 플랫폼에서는 관리자 권한이 필요하다. 이러한 이유로 이전 버전의 와이어샤크(Wireshark)와 T샤크(TShark)는 종종 슈퍼유저 권한으로 실행되었다. 트래픽을 캡처할 때 호출되는 수많은 프로토콜 디섹터(dissector)를 고려하고 디섹터의 버그 가능성을 인식하면 심각한 보안 위험이 발생할 수 있다. 과거의 상당히 많은 취약점(그 중 다수는 원격 코드 실행을 허용)과 더 나은 미래 개발에 대한 개발자의 의구심으로 인해 OpenBSD는 OpenBSD 3.6 이전에 Ethereal을 포트 트리에서 제거했다.^[27]

모든 작업에 관리자 권한이 필요한 것은 아니다. 예를 들어, 다른 방법으로는 tcpdump 또는 와이어샤크와 함께 제공되는 ''dumpcap'' 유틸리티를 슈퍼유저 권한으로 실행하여 패킷을 파일로 캡처한 다음, 제한된 권한으로 와이어샤크를 실행하여 패킷을 분석하는 것이다. 거의 실시간 분석을 에뮬레이션하기 위해 각 캡처된 파일은 ''mergecap''으로 병합되어 와이어샤크에서 처리되는 증가하는 파일로 병합될 수 있다. 무선 네트워크에서는 Aircrack 무선 보안 도구를 사용하여 IEEE 802.11 프레임을 캡처하고 와이어샤크로 결과 덤프 파일을 읽을 수 있다.

와이어샤크 0.99.7부터 와이어샤크와 T샤크는 트래픽 캡처를 수행하기 위해 dumpcap을 실행한다. 트래픽을 캡처하기 위해 특별한 권한이 필요한 플랫폼은 dumpcap만 해당 권한으로 실행하면 된다. 와이어샤크나 T샤크는 특별한 권한으로 실행할 필요가 없으며 실행해서도 안 된다.

5. 2. 관리자 권한 없이 사용하는 방법

일부 플랫폼에서는 네트워크 인터페이스에서 원시 네트워크 트래픽을 캡처하기 위해 관리자 권한이 필요하다. 이러한 이유로 이전 버전의 와이어샤크(Wireshark)와 T샤크(TShark)는 종종 슈퍼유저 권한으로 실행되었다. 트래픽 캡처 시 호출되는 수많은 프로토콜 디섹터(dissector)와 디섹터의 버그 가능성을 고려하면, 이는 심각한 보안 위험을 초래할 수 있다. 과거에는 이러한 문제로 인해 원격 코드 실행을 허용하는 등 많은 취약점이 발견되었으며, 이로 인해 OpenBSD는 OpenBSD 3.6 이전에 Ethereal(와이어샤크의 이전 이름)을 포트 트리에서 제거하기도 했다.^[27]

하지만 모든 작업에 관리자 권한이 필요한 것은 아니다. 예를 들어, tcpdump 또는 와이어샤크와 함께 제공되는 ''dumpcap'' 유틸리티를 슈퍼유저 권한으로 실행하여 패킷을 파일로 캡처한 다음, 제한된 권한으로 와이어샤크를 실행하여 패킷을 분석하는 방법이 있다. 거의 실시간 분석을 에뮬레이션하기 위해, 각 캡처된 파일은 ''mergecap''으로 병합되어 와이어샤크에서 처리되는 증가하는 파일로 만들어질 수 있다. 무선 네트워크의 경우, Aircrack 무선 보안 도구를 사용하여 IEEE 802.11 프레임을 캡처하고, 생성된 덤프 파일을 와이어샤크로 읽어 분석할 수 있다.

와이어샤크 0.99.7 버전부터는 와이어샤크와 T샤크가 트래픽 캡처를 수행하기 위해 dumpcap을 실행한다. 따라서 트래픽 캡처에 특별한 권한이 필요한 플랫폼에서는 dumpcap만 해당 권한으로 실행하면 된다. 와이어샤크나 T샤크 자체는 특별한 권한으로 실행할 필요가 없으며, 그렇게 실행해서도 안 된다.

6. 시뮬레이션 패킷 캡처

와이어샤크는 또한 ns 및 OPNET Modeler와 같은 대부분의 네트워크 시뮬레이션 도구에서 패킷을 캡처하는 데 사용할 수 있다.^[29]

참조

_[1] 웹사이트 Wireshark – About https://www.wireshar[...] The Wireshark Foundation 2018-01-30
_[2] 웹사이트 Wireshark FAQ License https://www.wireshar[...]
_[3] 웹사이트 COPYING https://gitlab.com/w[...] 2022-07-20
_[4] 웹사이트 Wireshark FAQ https://www.wireshar[...] 2011-12-31
_[5] 간행물 Gussied-up NetXRay takes on enterprise features https://books.google[...] 1997-11-17
_[6] 웹사이트 Q&A with the founder of Wireshark and Ethereal http://www.protocog.[...] protocolTesting.com 2010-07-24
_[7] 웹사이트 What's up with the name change? Is Wireshark a fork? https://www.wireshar[...] 2007-11-09
_[8] 웹사이트 Riverbed Expands Further Into The Application-Aware Network Performance Management Market with the Acquisition of CACE Technologies http://www.riverbed.[...] Riverbed Technology 2010-10-21
_[9] 웹사이트 enpa-sa-00024 http://ethereal.com/[...] Ethereal 2006-11-10
_[10] 웹사이트 Sysdig Wireshark Foundation, We're Gonna Need A Safer Cloud https://www.forbes.c[...] 2023-04-20
_[11] 웹사이트 Awards and Accolades https://www.wireshar[...] 2010-09-20
_[12] 웹사이트 Wireshark https://www.eweek.co[...] eWEEK 2012-08-12
_[13] 웹사이트 Best of open source in networking http://www.infoworld[...] 2007-09-10
_[14] 간행물 Best of open source software awards: Networking http://www.infoworld[...] 2015-04-28
_[15] 웹사이트 Bossie Awards 2012: The best open source networking and security software http://www.infoworld[...] 2015-04-28
_[16] 웹사이트 Bossie Awards 2013: The best open source networking and security software http://www.infoworld[...] 2015-04-28
_[17] 웹사이트 Bossie Awards 2014: The best open source networking and security software http://www.infoworld[...] 2015-04-28
_[18] 뉴스 Wireshark 1.2.6 https://www.pcmag.co[...] PC Magazine 2010-09-20
_[19] 웹사이트 Wireshark is No. 1 of Top 14 Packet Sniffers http://sectools.org/[...] Insecure.Org 2012-08-12
_[20] 웹사이트 Wireshark, SourceForge Project of the Month, August 2010 http://sourceforge.n[...] SourceForge 2012-08-12
_[21] 웹사이트 Wireshark About Page https://www.wireshar[...] Wireshark 2023-03-21
_[22] 웹사이트 Dissector compilation example http://www.arena.fre[...] 2013-04-18
_[23] 웹사이트 USB capture setup http://wiki.wireshar[...] 2011-12-31
_[24] 웹사이트 Snoop https://wiki.wiresha[...] Wireshark 2024-04-01
_[25] 웹사이트 NETSCOUT https://www.wireshar[...] Wireshark 2023-03-21
_[26] 웹사이트 Microsoft Network Monitor https://ask.wireshar[...] Wireshark 2023-03-21
_[27] 웹사이트 CVS log for ports/net/ethereal/Attic/Makefile https://cvsweb.openb[...] Openbsd.org 2023-03-25
_[28] 웹사이트 Packet colorization of Wireshark https://www.wireshar[...] Wireshark 2023-03-21
_[29] 웹사이트 Undergraduate Data Communications and Networking Projects Using OPNET and Wireshark Software http://users.rowan.e[...] 2021-11-15
_[30] 간행물 Gussied-up NetXRay takes on enterprise features https://books.google[...] 1997-11-17
_[31] 웹사이트 Q&A with the founder of Wireshark and Ethereal http://www.protocog.[...] protocolTesting.com 2010-07-24
_[32] 웹사이트 What's up with the name change? Is Wireshark a fork? https://www.wireshar[...] 2007-11-09
_[33] 웹사이트 enpa-sa-00024 http://ethereal.com/[...] Ethereal 2006-11-10
_[34] 웹사이트 Riverbed Expands Further Into The Application-Aware Network Performance Management Market with the Acquisition of CACE Technologies http://www.riverbed.[...] Riverbed Technology 2010-10-21
_[35] 문서 MAC OS X download https://1.as.dl.wire[...]
_[36] 웹사이트 http://www.wireshark[...]

본 사이트는 AI가 위키백과와 뉴스 기사,정부 간행물,학술 논문등을 바탕으로 정보를 가공하여 제공하는 백과사전형 서비스입니다.
모든 문서는 AI에 의해 자동 생성되며, CC BY-SA 4.0 라이선스에 따라 이용할 수 있습니다.
하지만, 위키백과나 뉴스 기사 자체에 오류, 부정확한 정보, 또는 가짜 뉴스가 포함될 수 있으며, AI는 이러한 내용을 완벽하게 걸러내지 못할 수 있습니다.
따라서 제공되는 정보에 일부 오류나 편향이 있을 수 있으므로, 중요한 정보는 반드시 다른 출처를 통해 교차 검증하시기 바랍니다.

문의하기 : help@durumis.com