# Wireshark

## 개요

**Wireshark** 세계적으로 가장 널리 사용되는 네트워크 프로토콜 분석 도구 중 하나로, 네트워크 트래픽을 실시간으로 캡처하고 상세하게 분석할 수 있도록 설계된 오픈 소스 소프트웨어입니다. 이 도구는 네트워크 관리자, 보안 전문가, 개발자 및 IT 기술자들이 네트워크 문제를 진단하고, 프로토콜 동작을 이해하며, 보안 이벤트를 조사하는 데 필수적인 역할을 합니다.

Wireshark는 수백 가지의 네트워크 프로토콜을 해석할 수 있으며, 패킷 단위로 캡처된 데이터를 인간이 이해할 수 있는 형태로 시각화하여 제공합니다. 또한, 강력한 필터링 기능과 그래프 도구를 통해 복잡한 네트워크 트래픽을 쉽게 분석할 수 있습니다.

---

## 주요 기능

### 1. 실시간 패킷 캡처
Wireshark는 이더넷, 무선 네트워크(Wi-Fi), 블루투스 등 다양한 네트워크 인터페이스를 통해 실시간으로 패킷을 캡처할 수 있습니다. 사용자는 특정 인터페이스를 선택하여 해당 네트워크를 모니터링할 수 있으며, 캡처된 패킷은 즉시 분석 화면에 표시됩니다.

### 2. 프로토콜 분석
Wireshark는 TCP/IP 스택의 모든 계층(Layer 2~7)에 걸쳐 다양한 프로토콜을 지원합니다. 예를 들어:
- **링크 계층**: Ethernet, PPP, IEEE 802.11 (Wi-Fi)
- **네트워크 계층**: IPv4, IPv6, ICMP, ARP
- **전송 계층**: TCP, UDP, SCTP
- **응용 계층**: HTTP, HTTPS, DNS, FTP, SMTP, SSH 등

각 프로토콜의 헤더 정보를 계층별로 분해하여 표시하고, 필드별 의미를 설명해 주므로 프로토콜 동작을 정확히 이해할 수 있습니다.

### 3. 강력한 필터링 기능
Wireshark는 두 가지 유형의터를 제공하여 대량의 트래픽 중 원하는 데이터만 추출할 수 있습니다.

- **캡처 필터 (Capture Filter)**  
  패킷 캡처 중에 적용되며, `tcp port 80`과 같은 문법을 사용해 특정 조건의 패킷만 저장합니다. 이 필터는 libpcap/WinPcap을 기반으로 하며, 캡처 성능에 영향을 줄 수 있습니다.

- **디스플레이 필터 (Display Filter)**  
  캡처 후 분석 단계에서 사용됩니다. 예: `http.request.method == "GET"` 또는 `ip.src == 192.168.1.1`  
  이 필터는 Wireshark 고유의 문법을 사용하며, 매우 유연하고 정밀한 검색이 가능합니다.

### 4. 시각화 도구
Wireshark는 다양한 그래프와 통계 도구를 제공하여 네트워크 동작을 직관적으로 이해할 수 있게 합니다.

- **시간-시퀀스 그래프 (Time-Sequence Graph)**: TCP 흐름 제어 및 지연 분석에 유용
- **통계 요약 (Statistics → Summary)**: 캡처된 트래픽의 지속 시간, 패킷 수, 데이터 속도 등 제공
- **프로토콜 계층 통계 (Protocol Hierarchy)**: 사용된 프로토콜의 비율을 시각화

---

## 설치 및 실행 환경

Wireshark는 다음과 같은 운영체제에서 사용할 수 있습니다:

- Windows (7 이상, 64비트 권장)
- Linux (대부분의 배포판에서 패키지 매니저로 설치 가능)
- macOS
- BSD 계열

### 설치 시 고려사항
- **WinPcap / Npcap (Windows)**: 실시간 패킷 캡처를 위해 필요. 최신 버전은 Npcap을 권장합니다.
- **권한 설정 (Linux/macOS)**: 일반 사용자도 패킷 캡처를 하려면 `wireshark` 그룹에 사용자를 추가하거나, `dumpcap`에 CAP_NET_RAW 권한을 부여해야 합니다.

```bash
# Ubuntu 기준 설치 예시
sudo apt update
sudo apt install wireshark
sudo usermod -aG wireshark $USER
```

---

## 보안 및 프라이버시 고려

Wireshark는 민감한 정보를 포함한 네트워크 트래픽을 캡처할 수 있으므로, 다음과 같은 보안 주의가 필요합니다:

- **암호화된 트래픽 분석 제한**: HTTPS(SSL/TLS) 트래픽은 암호화되어 있어 내용을 직접 볼 수 없습니다. 단, 서버의 프라이빗 키를 가져와 디크립션 설정을 하면 일부 분석이 가능합니다.
- **캡처 파일 보호**: `.pcap` 또는 `.pcapng` 확장자의 캡처 파일에는 로그인 정보, 쿠키, 메시지 등이 포함될 수 있으므로 암호화 저장 및 접근 제어가 필요합니다.
- **법적 사용 준수**: 타인의 네트워크를 무단으로 캡처하는 것은 불법입니다. 반드시 사용 권한을 획득해야 합니다.

---

## 활용 사례

### 1. 네트워크 장애 진단
- 지연(latency) 원인 분석
- 패킷 손실(packet loss) 탐지
- TCP 재전송 문제 확인

### 2. 보안 분석
- 이상 트래픽 탐지 (예: 포트 스캔, DDoS 징후)
- 악성 소프트웨어의 C&C 통신 분석
- 네트워크 기반 취약점 공격 조사

### 3. 프로토콜 개발 및 테스트
- 커스텀 프로토콜 동작 검증
- API 통신 디버깅 (HTTP/REST 기반)

---

## 관련 도구 및 참고 자료

- **TShark**: Wireshark의 명령줄 버전으로, 서버 환경이나 자동화 스크립트에서 유용합니다.
- **tcpdump**: 리눅스 기반 캡처 도구. 필터 문법이 Wireshark 캡처 필터와 유사합니다.
- **Zeek (이전 Bro)**: 보안 중심의 네트워크 분석 도구로, 로그 기반 분석을 수행합니다.

### 참고 문서
- 공식 웹사이트: [https://www.wireshark.org](https://www.wireshark.org)
- 공식 문서 및 매뉴얼: [https://www.wireshark.org/docs/](https://www.wireshark.org/docs/)
- Wireshark 디스플레이 필터 가이드: [Display Filter Reference](https://www.wireshark.org/docs/dfref/)

---

Wireshark는 네트워크 분석의 표준 도구로, 기술 수준에 따라 기초적인 문제 해결부터 고급 보안 분석까지 다양한 용도로 활용될 수 있습니다. 지속적인 업데이트와 활발한 커뮤니티 지원 덕분에, 네트워크 전문가들에게 오랫동안 신뢰받고 있는 도구입니다.