Windows에서 Wireshark를 사용하는 방법: 완전하고 실용적이며 최신 가이드

궁금한 적이 있습니까 온라인에서 검색하거나, 게임을 하거나, 연결된 장치를 관리할 때 네트워크에서 실제로 무슨 일이 일어날까요? WiFi에서 유통되는 미스터리에 대해 단순히 궁금하거나 전문적인 도구가 필요한 경우 네트워크 트래픽을 분석하고 연결 문제를 감지합니다., 확실히 그 이름은 와이어 샤크 이미 여러분의 관심을 끌었습니다.

글쎄요, 이 기사에서 당신은 우회 없이 발견할 것입니다 Wireshark에 대한 모든 세부 정보: 이것이 무엇이고, Windows에서 어떤 용도로 사용되는지, 설치 방법은 무엇인지, 그리고 데이터 캡처를 시작하기 전에 알아두면 좋은 팁은 무엇인지 알려드립니다. 시작해 볼까요.

와이어샤크란 무엇인가요? 네트워크 분석의 거인을 분해하다

Wireshark는 전 세계적으로 가장 인기 있고 인정받는 네트워크 프로토콜 분석기입니다.. 이 무료 오픈 소스 강력한 도구를 사용하면 다음을 수행할 수 있습니다. 모든 네트워크 트래픽을 캡처하고 조사합니다. Windows, Linux, macOS 컴퓨터, 심지어 FreeBSD와 Solaris와 같은 시스템이든 컴퓨터를 통과하는 모든 것입니다. Wireshark를 사용하면 실시간으로 또는 녹음한 후에 컴퓨터에 들어오고 나가는 패킷, 출처, 목적지, 프로토콜을 정확히 확인할 수 있으며, OSI 모델에 따라 각 계층에 대한 세부 정보를 얻기 위해 패킷을 세분화할 수도 있습니다.

많은 분석기와 달리, Wireshark는 직관적인 그래픽 인터페이스로 돋보입니다.하지만 명령줄을 선호하거나 자동화된 작업을 수행해야 하는 사용자를 위해 TShark라는 강력한 콘솔 버전도 제공합니다. Wireshark의 유연성 이 기능을 사용하면 탐색하는 동안 연결을 분석하고, 전문적인 보안 감사를 수행하고, 네트워크 병목 현상을 해결하거나 인터넷 프로토콜이 작동하는 원리를 처음부터 배우는 등의 작업이 모두 사용자의 PC에서 가능합니다!

Windows에 Wireshark를 다운로드하고 설치하세요

Windows에 Wireshark를 설치하는 것은 간단한 과정입니다.하지만 캡처에 필요한 권한과 추가 드라이버와 관련하여 특히, 미완성된 부분이 없도록 단계별로 진행하는 것이 좋습니다.

• 공식 다운로드: 에 액세스 Wireshark 공식 웹사이트 Windows 버전을 선택하세요(시스템에 따라 32비트 또는 64비트).
• 설치 프로그램을 실행합니다. 다운로드한 파일을 두 번 클릭하고 마법사를 따르세요. 질문이 있으면 기본 옵션을 수락하세요.
• 필수 드라이버: 설치하는 동안 설치 프로그램이 다음을 묻습니다. Npcap 설치. 이 구성 요소는 네트워크 카드가 "무차별" 모드로 패킷을 캡처할 수 있게 해주므로 필수적입니다. 설치를 수락합니다.
• 종료하고 다시 시작: 프로세스가 완료되면 컴퓨터를 다시 시작하여 모든 구성 요소가 준비되었는지 확인하세요.

준비가 된! 이제 Windows 시작 메뉴에서 Wireshark를 사용할 수 있습니다. 이 프로그램은 자주 업데이트되므로 수시로 새로운 버전을 확인하는 것이 좋습니다.

Wireshark 작동 방식: 패킷 캡처 및 표시

Wireshark를 열면, 가장 먼저 시스템에서 사용 가능한 모든 네트워크 인터페이스 목록이 표시됩니다.: 유선 네트워크 카드, WiFi, VMware나 VirtualBox와 같은 가상 머신을 사용하는 경우 가상 어댑터도 필요합니다. 이러한 각 인터페이스는 디지털 정보의 진입점 또는 출구점을 나타냅니다.

데이터 캡처를 시작하려면 원하는 인터페이스를 두 번 클릭하기만 하면 됩니다.. 그때부터, Wireshark는 실시간으로 순환하는 모든 패킷을 표시합니다. 해당 카드를 기준으로 패킷 번호, 캡처 시간, 소스, 목적지, 프로토콜, 크기 및 추가 세부 정보와 같은 열별로 정렬합니다.

캡처를 중지하려면 빨간색 정지 버튼. 캡처한 내용을 .pcap 형식으로 저장하여 나중에 분석, 공유하거나 다양한 형식(CSV, 텍스트, 압축 등)으로 내보낼 수도 있습니다. 이러한 유연성이 바로 Wireshark는 즉석 분석과 전체 감사에 모두 필수적인 도구입니다..

시작하기: Windows에서 스크린샷을 찍기 전 팁

첫 번째 Wireshark 캡처가 유용하고 관련성 없는 노이즈나 혼란스러운 데이터로 채워지지 않도록 하려면 다음과 같은 몇 가지 주요 권장 사항을 따르세요.

• 불필요한 프로그램 닫기: 캡처를 시작하기 전에 백그라운드 트래픽을 생성하는 애플리케이션(업데이트, 채팅, 이메일 클라이언트, 게임 등)을 종료하세요. 이렇게 하면 관련 없는 트래픽이 섞이는 것을 피할 수 있습니다.
• 방화벽을 제어하세요: 방화벽은 트래픽을 차단하거나 수정할 수 있습니다. 전체 캡처를 원할 경우 일시적으로 비활성화하는 것을 고려하세요.
• 관련성 있는 내용만 캡처하세요특정 앱을 분석하려면 캡처를 시작한 후 1~2초 정도 기다렸다가 앱을 실행하고, 앱을 닫은 후에도 같은 작업을 한 후 녹음을 중지하세요.
• 활성 인터페이스를 알아보세요: 특히 여러 개의 어댑터가 있거나 가상 네트워크에 있는 경우 올바른 네트워크 카드를 선택했는지 확인하세요.

이러한 지침을 따르면 스크린샷이 훨씬 더 깔끔해지고, 추후 분석에 더 유용해질 것입니다..

Wireshark의 필터: 정말 중요한 것에 집중하는 방법

Wireshark의 가장 강력한 기능 중 하나는 필터입니다.. 두 가지 기본 유형이 있습니다.

• 캡처 필터: 캡처를 시작하기 전에 적용되므로 처음부터 관심 있는 트래픽만 수집할 수 있습니다.
• 디스플레이 필터: 이는 이미 캡처된 패킷 목록에 적용되므로 기준을 충족하는 패킷만 표시할 수 있습니다.

가장 일반적인 필터는 다음과 같습니다.

• 프로토콜에 따라: HTTP, TCP, DNS 등의 패킷만 필터링합니다.
• IP 주소로: 예를 들어, 다음을 사용하여 특정 IP에서 또는 특정 IP로 향하는 패킷만 표시합니다. ip.src == 192.168.1.1 o ip.dst == 8.8.8.8.
• 항구로: 결과를 특정 포트로 제한합니다(tcp.포트 == 80).
• 텍스트 문자열로: 콘텐츠 내에 키워드가 포함된 패키지를 찾습니다.
• MAC 주소, 패킷 길이 또는 IP 범위로.

또한 필터는 논리 연산자와 결합될 수 있습니다.및 , or, 지원) 매우 정확한 검색의 경우, 예: tcp.port == 80 및 ip.src == 192.168.1.1.

Windows에서 Wireshark를 사용하여 무엇을 캡처하고 분석할 수 있나요?

와이어샤크는 480개 이상의 다양한 프로토콜을 해석할 수 있음TCP, UDP, IP와 같은 기본 프로토콜부터 애플리케이션별 프로토콜, IoT, VoIP 등 다양한 프로토콜을 다룹니다. 즉, 간단한 DNS 쿼리부터 암호화된 SSH 세션, HTTPS 연결, FTP 전송, 인터넷 전화의 SIP 트래픽까지 모든 유형의 네트워크 트래픽을 조사할 수 있습니다.

또한, Wireshark는 tcpdump(libpcap), pcapng 등과 같은 표준 캡처 형식을 지원합니다.GZIP을 사용하여 스크린샷을 즉시 압축하고 압축 해제하여 공간을 절약할 수 있습니다. 암호화된 트래픽(TLS/SSL, IPsec, WPA2 등)의 경우 올바른 키가 있으면 데이터를 해독하고 원래 내용을 볼 수도 있습니다.

자세한 트래픽 캡처: 추가 권장 사항

중요한 캡처를 시작하기 전에 다음 프로토콜을 따르면 수집된 정보의 유용성을 극대화할 수 있습니다.:

• 올바른 인터페이스를 선택하세요: 일반적으로 활성 어댑터는 사용 중인 연결에 맞는 어댑터입니다. 의심스러운 경우 Windows 네트워크 설정에서 어느 것이 연결되어 있는지 확인하세요.
• 장면을 설정하다: 분석하려는 트래픽을 생성할 프로그램이나 앱만 엽니다.
• 현상을 분리하다앱 트래픽을 분석하려면 다음 순서를 따르세요. 캡처를 시작한 후 앱을 실행하고, 분석하려는 작업을 수행하고, 녹음을 중지하기 전에 앱을 닫으세요.
• 스크린샷 저장: 녹음을 중지하려면 파일 > 저장으로 가서 .pcap이나 원하는 형식을 선택하세요.

이렇게 하면 얻을 수 있습니다 깔끔하고 분석하기 쉬운 파일, 어떠한 불필요한 트래픽도 섞이지 않습니다.

예시: Wireshark를 사용한 트래픽 분석

로컬 네트워크에 두 대의 컴퓨터가 있고 그 중 한 대가 인터넷에 접속하지 않는다고 가정해 보겠습니다. Wireshark를 사용하면 해당 머신의 트래픽을 캡처할 수 있습니다. DNS 주소를 확인하는 데 오류가 있는지, 패킷이 라우터에 도달하지 못하는지, 방화벽이 통신을 차단하고 있는지 확인하세요.

또 다른 전형적인 사례는 다음과 같습니다. 웹사이트가 로그인을 제대로 암호화하지 않는지 감지. HTTPS가 없는 웹사이트에 로그인하고 사용자 이름과 함께 HTTP 필터를 적용하면 비밀번호가 네트워크를 통해 안전하게 전송되는 것을 볼 수도 있습니다. 이는 안전하지 않은 웹사이트의 위험성을 보여주는 실제 사례입니다.

Wireshark와 보안: 위험, 공격 및 보호 조치

Wireshark의 강력함은 또한 가장 큰 위험이기도 합니다. 잘못된 사람의 손에 들어가면 신원 정보 탈취, 간첩 활동이 용이해지거나 민감한 정보가 유출될 수 있습니다.. 다음은 몇 가지 위협과 권장 사항입니다.

• 자격 증명 스터핑(자격 증명 무차별 대입 공격): SSH, Telnet 또는 기타 서비스 트래픽을 캡처하는 경우 자동 로그인 시도가 관찰될 수 있습니다. 더 긴 세션(일반적으로 성공적임), 패킷 크기, 의심스러운 패턴을 감지하려는 시도 횟수에 주의하세요.
• 외부 교통 위험: 내부 네트워크에서 발생하지 않는 모든 SSH 트래픽을 필터링하세요. 외부에서 연결이 발견되면 주의하세요!
• 평문 비밀번호: 웹사이트가 암호화되지 않은 사용자 이름과 비밀번호를 전송하는 경우 스크린샷에 표시됩니다. 해외 네트워크에서 이 데이터를 얻기 위해 Wireshark를 사용하지 마십시오. 허가 없이 이를 행하는 것은 불법임을 기억하세요.
• 동의와 합법성: 자체 네트워크 또는 명시적 권한이 있는 트래픽만 분석합니다. 이 점에 대한 법률은 매우 명확하며, 이를 오용하면 심각한 결과를 초래할 수 있습니다.
• 투명성과 윤리: 기업 환경에서 일하는 경우 사용자에게 분석 내용과 목적을 알려주세요. 개인정보 보호에 대한 존중은 기술적 보안만큼 중요합니다.

Wireshark 대안: 네트워크 분석을 위한 다른 옵션

Wireshark가 확실한 참고 도구이지만, 특정 상황에서 Wireshark를 보완하거나 대체할 수 있는 다른 도구도 있습니다.

• TCP 덤프: Unix/Linux 환경에 이상적이며 명령줄에서 작동합니다. 가볍고 빠르며 유연해서 빠른 캡처나 자동화된 작업에 적합합니다.
• 클라우드샤크: 브라우저에서 패킷 캡처를 업로드, 분석, 공유하기 위한 웹 플랫폼입니다. 협업 환경에 매우 유용합니다.
• 스마트스니프: Windows에 초점을 맞춰 클라이언트와 서버 간의 대화를 스팟 캡처하고 보는 데 사용하기 쉽습니다.
• 콜라소프트 캡사: 인터페이스의 단순성과 포트 스캐닝, 내보내기, 간결한 시각화를 위한 특정 옵션이 돋보이는 그래픽 네트워크 분석기입니다.

가장 좋은 대안을 선택하는 것은 귀하의 구체적인 요구 사항에 따라 달라집니다.: 속도, 그래픽 인터페이스, 온라인 협업, 특정 하드웨어와의 호환성 등입니다.

고급 설정: 무차별 모드, 모니터 및 이름 확인

Promiscuous 모드를 사용하면 네트워크 카드가 캡처할 수 있습니다. 그녀를 위해 의도된 패키지뿐만 아니라, 연결된 네트워크를 통해 순환하는 모든 트래픽. 기업 네트워크, 공유 허브 또는 침투 테스트 시나리오를 분석하는 데 중요합니다.

Windows에서는 다음으로 이동하세요. 캡처 > 옵션, 인터페이스를 선택하고 무차별 모드 상자를 체크하세요. 매우 특정한 하드웨어를 제외한 Wi-Fi 네트워크에서는 사용자 자신의 기기에서 발생하는 트래픽만 볼 수 있다는 점을 명심하세요.

또한, 이름 확인은 IP 주소를 읽을 수 있는 도메인 이름으로 변환합니다. (예: google-public-dns-a.google.com의 8.8.8.8). 편집 > 기본 설정 > 이름 확인에서 이 옵션을 활성화하거나 비활성화할 수 있습니다. 스캔하는 동안 장치를 식별하는 데 많은 도움이 되지만, 확인해야 할 주소가 많으면 프로세스가 느려질 수 있습니다.