"와이어샤크" 사용해 보기 (Wireshark, 초보도 트래픽 분석을 할 수 있다)

 

제가 올린 글들을 이해하시고, 인터넷 또는 네트워크에 대해 더 알고 싶은 욕망이 생기셨다면 그때 도전해보기 가장 좋은 것이 바로 "와이어샤크(Wireshark)" 입니다. 

 

"와이어샤크"는 깊이 들어가면 배워야 할 것들이 정말 많지만, 그 정도까지 배우지 않으셔도 네트워크 통신을 이해하시는 데 아주 많이 도움이 되는 소프트웨어에요. 더군다나 "완전 무료" 입니다.

 

저는 복잡하고, 어려운 주제들을 다루지 않고, 항상 쉽게 접근하실 수 있도록 글을 쓰려고 합니다. 오늘도 천천히 따라오시면 누구나 나 와이어샤크를 조금은 사용하실 수 있게 되실거에요~ ^^

 

사전적 의미는 아래와 같습니다. 

와이어샤크(Wireshark)는 자유 및 오픈 소스 패킷 분석 프로그램이다. 네트워크의 문제, 분석, 소프트웨어 및  통신 프로토콜 개발, 교육에 쓰인다

 

사전에서 정의한 것처럼 와이어샤크는 네트워크 분석에 주로 사용됩니다. "분석"이라고 하니 어렵게 느껴지시나요?

 

결코 어렵지 않으니 다들 함께 설치하시고, 실제 패킷을 보면서 통신에 대해 더 깊이 이해할 수 있는 시간이 되었으면 합니다. 우선 와이어샤크를 다운로드 받을께요.

 

다운로드 URL 입니다. https://www.wireshark.org/download.html

(구글에 wireshark download 로 검색하셔도 됩니다)

 

"Windows x64 Installer"를 클릭하셔서 설치 파일을 다운로드 해주세요.

 

설치파일을 실행하시고, 다른 옵션은 건드릴 필요 없이 그냥 계속 "Next" 만 해주시면 됩니다. 

 

중간에 NPCAP 설치를 위한 "License Agreement" 창이 나타날텐데요. "I Agree"를 클릭해주세요. 

 

그 다음 창에서 "Install"을 눌러주세요.

 

Npcap 설치가 완료되었고, 또 "Next" 해주시면 됩니다.

 

이제 모든 설치가 완료되었습니다. "Next" 누르셔서 설치를 완료해주세요.

 

시스템 재시작을 한번 해주시면, 이제 완전히 마무리가 됩니다. "Reboot now" 선택된 상태에서 "Finish"를 눌러주세요

 

자, 그럼 윈도우를 누르시고, "Wireshark"를 한번 실행해봐요

 

와이어샤크가 실행되고 나면, "캡쳐" 아래에 그래프 들이 보이실 텐데요. 이 것이 바로 내 컴퓨터의 인터페이스(네트워크 어댑터)를 통해 들어오고, 나가는 트래픽 그래프 입니다. 그럼, 어떤 트래픽이 오가고 한번 볼까요? 해당 "네트워크 어댑터"를 더블클릭하시면 됩니다. 

 

그럼 아래와 같이 패킷들이 보여지게 됩니다. 너무 복잡하고 어려워 보이시나요? 

 

처음에는 다 그렇답니다. ^^ 하지만, 조금만 더 알아간다면, 이 모든 것들이 이제 눈에 들어오기 시작하실거에요. 정말로 어렵지 않습니다. 포기하지 마세요~

패킷은 잘 수집되는 것을 봤으니, 그럼 내가 사이트에 접속할 때 어떤 패킷들이 오가는지 한번 간단히 살펴볼께요.

 

다시 시작하시려면 파란색 상어 지느러미 아이콘을 클릭하시면 됩니다. 클릭하여 패킷 캡쳐를 시작한 후에 google.com에 연결해볼까요?

 

캡처 시작 옆에 있는 네모난 STOP 아이콘을 눌러서 패킷 수집을 멈춰주세요. 그럼 아래와 같이 수많은 패킷들이 수집이 되었습니다. 짧은 사이에 2,000개 가까운 패킷이 수집되었네요. ^^ 이건 컴퓨터 마다 다르니 숫자는 신경쓰지 마세요~

 

자, 그럼 여기서 내가 보고싶은 google.com과 관련된 패킷만 보려면 어떻게 해야 할까요?

 

아래와 같이 필터 란에 frame contains "google" 이라고 입력 후 엔터를 쳐주세요. 그럼 google 키워드가 포함된 패킷만 보여지게 됩니다. 

 

자, 이것만 봐도 우리가 파악할 수 있는 것이 있는데요, google 서버와 내 컴퓨터는 TLSv1.3 프로토콜을 사용하여 암호화 하고 있다는 것을 알 수 있습니다.  

 

더 자세히 알아보기 위해, 240번 패킷을 마우스 오른쪽 클릭 하셔서 "따라가기" > "TCP 스트림"을 클릭해주세요.

 

아래 그림처럼 글씨가 모두 깨어진 것처럼 보이죠? 바로 HTTPS를 사용하여 암호화 되어 있기 때문입니다. 만약, HTTP를 사용했다면 암호화 되지 않기에 이런 방법을 모든 데이터를 확인하실 수 있게 됩니다. ID와 비밀번호까지도...

이 창은 그냥 닫아주세요.

 

그럼 아래와 같이 내가 google.com에 접속하기 위해 TCP 연결을 맺고, 암호화 된 채널 생성을 위해 암호화 정보를 주고 받은 것들(TLS 핸드쉐이크)을 확인하실 수 있습니다. 

 

재미 있으셨나요?

 

너무 많은 내용을 한꺼번에 다루면 어렵게 느끼실 수도 있으니 차근차근 글을 올리도록 할께요.

 

위 과정을 스스로 해보시면서 접속과정에 대해서 확인도 해보시고, http 사이트에 접속해서 그때는 또 어떻게 보여지는지 확인해보시면 좋겠습니다.