mir.pe (일반/어두운 화면)
최근 수정 시각 : 2023-04-21 20:39:33

Wireshark

와이어샤크에서 넘어옴
1. 개요2. 상세3. 기타


파일:external/www.wireshark.org/wireshark_logo@2x.png
공식 홈페이지

1. 개요

와이어샤크(WireShark)는 네트워크 패킷 캡처 및 분석 소프트웨어이다.

'통신망의 상어'라는 뜻인데, 우스워 보이는 이름이지만 사실 이름이 이 컨셉이다. 피 한 방울만 떨어져도 감지해내는 상어처럼 통신망을 감시한다는 취지이다.

참고로, 원래는 Ethereal이라는 다른 이름이었지만, 2006년 5월 이 이름의 상표권 소송이 걸리면서 이름을 변경하였다.

2. 상세

네트워크 패킷 감시용으로는 가장 널리 알려진 프로그램이다. 무엇보다도 GPL에 따라 무료로 풀려 있고, 크로스 플랫폼을 지원하여 윈도우, 리눅스 외에 다양한 OS에서도 사용가능하다.

지원하는 패킷 타입이 간단히 수백 가지를 넘을 정도로, 정말 막강한 분석 능력을 가지고 있다. 지원하지 않는 기능이라도, 플러그인을 추가하여 기능을 추가하는 것도 가능하다.

GUI를 지원하기에, 패킷을 분석하여 보기 편하다. 이와 별개로 터미널 버전인 Terminal shark도 있다.

3. 기타

다른 패킷 캡쳐 프로그램인 TCPDUMP와는 같은 PCAP 라이브러리를 사용하기에, 데이터 호환성이 있다. 임베디드 장비의 경우는 장비 용량 문제로 Wireshark는 없고 TCPDUMP만 올라가 있는 경우가 흔하다. 이런 경우 TCPDUMP로 패킷을 저장한 후, 이 파일을 메인 PC로 옮겨서 Wireshark를 이용해서 분석하는 식으로 사용 가능하다.

이런 S/W는 부엌의 식칼처럼 누가 쓰느냐에 따라 전혀 다른 역할을 한다. 식칼이 요리사의 손에 들리면 훌륭한 요리 도구가 되지만, 살인범의 손에 들리면 살인 흉기가 된다. 마찬가지로, 패킷 캡처 프로그램도 보안 전문가가 사용하면 바이러스나 해킹을 차단하는 훌륭한 도구가 되지만, 반대로 해커가 사용할 경우 개인정보 탈취를 위한 강력한 무기가 된다. 실제로 공용 와이파이에 접속할 경우, TLS로 암호화되지 않은 통신의 내용을 모조리 도청할 수 있다. 비밀번호 같은 사항까지 전부. 네이버[1]처럼 과거 일부 웹페이지가 암호화되지 않았던 사이트들이 이런 공격에 취약했다.

한때 일부 랜카드에서 Npcap 1.70 ~ 1.73 버전을 사용하면서 Windows 11 드라이버를 설치할시 랜카드의 promiscuous mode를 끄라면서 와이어샤크 캡쳐가 안 되는 버그가 있었다. 해결방법은 임시방편으로 Npcap 버전을 1.60으로 낮추면 정상적으로 작동하며 #1, 굳이 Windows 11에서 Npcap 1.70 ~ 1.73 버전을 이용하겠다고 하면 Windows 10용 드라이버를 설치하면 캡쳐가 정상적으로 된다. #2 Windows 11 Windows 10용 드라이버 설치해도 인터넷 하는데 문제 전혀 없다. Npcap의 버그였다. 초기에는 리얼텍 랜카드에서 발생하는걸로 알려졌으나, 추후 Windows 11 Windows 11용 랜카드 드라이버를 설치한 경우라면 인텔 및 킬러랜 등에서도 해당 버그가 나타나는 것으로 확인되었다. Npcap 1.74 버전이 출시되면서 해당 버그는 해결되었다.


[1] 웹툰 등