와이어 샤크(Wireshark)

와이어 샤크는 A는 무료 및 오픈 소스 패킷 분석기 . 그것은 사용되는 네트워크 문제 해결, 분석, 소프트웨어 및 통신 프로토콜 개발 및 교육. 원래 이름이 Ethereal 이었던이 프로젝트는 상표 문제로 인해 2006 년 5 월에 Wireshark로 이름이 변경되었습니다. 

 

Wireshark는 크로스 플랫폼 으로 현재 릴리스 의 Qt 위젯 툴킷 을 사용하여 사용자 인터페이스를 구현하고 pcap 을 사용하여 패킷을 캡처합니다. 그것은에서 실행 리눅스 , 맥 OS , BSD , 솔라리스 , 다른 유닉스 운영 체제와 마이크로 소프트 윈도우 . TShark라는 터미널 기반 (비 GUI) 버전도 있습니다. Wireshark 및 TShark와 같이 함께 배포되는 기타 프로그램 은 GNU General Public License 버전 2 조건에 따라 릴리스 된 무료 소프트웨어 입니다.

 

기능 
Wireshark는 tcpdump 와 매우 유사 하지만 그래픽 프론트 엔드 와 일부 통합 정렬 및 필터링 옵션이 있습니다.

Wireshark를 사용하면 사용자가 네트워크 인터페이스 컨트롤러 를 무차별 모드 로 전환 할 수 있으므로 ( 네트워크 인터페이스 컨트롤러 에서 지원하는 경우 ) 해당 네트워크 인터페이스 컨트롤러의 MAC 주소로 전송되지 않은 유니 캐스트 트래픽을 포함하여 해당 인터페이스에서 볼 수있는 모든 트래픽을 볼 수 있습니다 . 그러나 네트워크 스위치 의 포트에서 무차별 모드에서 패킷 분석기 로 캡처 할 때 스위치를 통한 모든 트래픽이 캡처가 수행되는 포트로 반드시 전송되는 것은 아니므로 무차별 모드에서 캡처하는 것만으로는 모든 네트워크를 볼 수 없습니다. 교통. 포트 미러링 또는 다양한 네트워크 탭캡처를 네트워크의 모든 지점으로 확장합니다. 단순한 패시브 탭은 변조에 매우 강합니다  .

libpcap 1.0.0 이상 이 설치된 GNU / Linux, BSD 및 macOS 에서 Wireshark 1.4 이상은 무선 네트워크 인터페이스 컨트롤러 를 모니터 모드 로 설정할 수도 있습니다 .

원격 시스템이 패킷을 캡처하고 캡처 된 패킷을 TZSP 프로토콜 또는 OmniPeek 에서 사용하는 프로토콜을 사용 하여 Wireshark를 실행하는 시스템으로 전송하는 경우 Wireshark는 해당 패킷을 분석하므로 캡처 된 시점에 원격 시스템에서 캡처 된 패킷을 분석 할 수 있습니다.

 

역사 
1990 년대 후반, 미주리-캔자스 시티 대학의 컴퓨터 과학 졸업생 인 Gerald Combs 는 소규모 인터넷 서비스 제공 업체 에서 일하고있었습니다 . 당시 상용 프로토콜 분석 제품의 가격은 약 1,500 달러 였고 회사의 기본 플랫폼 (Solaris 및 Linux)에서 실행되지 않았습니다. 따라서 Gerald는 Ethereal을 작성하기 시작했고 1998 년경에 첫 번째 버전을 출시했습니다. Ethereal 상표 는 다음과 같습니다. 네트워크 통합 서비스 소유.

 

2006 년 5 월 Combs는 CACE Technologies에서 일을 수락했습니다. Combs는 여전히 대부분의 Ethereal 소스 코드에 대한 저작권을 보유하고 있었기 때문에 (나머지는 GNU GPL로 재배포 가능했습니다), 그는 Ethereal Subversion 저장소 의 콘텐츠를 Wireshark 저장소의 기반으로 사용했습니다. 그러나 그는 Ethereal 상표를 소유하지 않았으므로 이름을 Wireshark로 변경했습니다. 2010 년에 Riverbed Technology 는 CACE 를 인수하고 Wireshark의 주요 후원사 역할을 맡았습니다. Ethereal 개발은 중단되었으며 Ethereal 보안 권고는 Wireshark로 전환 할 것을 권장했습니다.

 

Wireshark는 eWeek , InfoWorld ,  및 PC Magazine을 포함하여  수년 동안 여러 업계 상을 수상했습니다. 또한 Insecure.Org 네트워크 보안 도구 설문 조사에서 최고 등급의 패킷 스니퍼이며 2010 년 8 월 이달 의 SourceForge 프로젝트였습니다.

Combs는 Wireshark의 전체 코드를 계속 유지하고 새로운 버전의 소프트웨어를 출시합니다. 제품 웹 사이트에는 600 명 이상의 추가 기고 저자가 나열되어 있습니다.

 

기능 
Wireshark는 서로 다른 네트워킹 프로토콜 의 구조 ( 캡슐화 ) 를 "이해"하는 데이터 캡처 프로그램입니다 . 다른 네트워킹 프로토콜에 의해 지정된 의미와 함께 필드를 구문 분석하고 표시 할 수 있습니다. Wireshark는 pcap 을 사용 하여 패킷을 캡처하므로 pcap이 지원하는 네트워크 유형의 패킷 만 캡처 할 수 있습니다.

데이터는 라이브 네트워크 연결에서 "유선에서"캡처하거나 이미 캡처 된 패킷 파일에서 읽을 수 있습니다.
라이브 데이터는 이더넷 , IEEE 802.11 , PPP 및 루프백을 포함한 다양한 유형의 네트워크에서 읽을 수 있습니다 .
캡처 된 네트워크 데이터는 GUI 또는 터미널 ( 명령 줄 ) 버전의 유틸리티 TShark 를 통해 찾아 볼 수 있습니다 .
캡처 된 파일은 명령 줄 스위치를 통해 "editcap"프로그램으로 프로그래밍 방식으로 편집하거나 변환 할 수 있습니다.
디스플레이 필터를 사용하여 데이터 디스플레이를 세분화 할 수 있습니다.
새로운 프로토콜을 분석하기위한 플러그인 을 만들 수 있습니다.
캡처 된 트래픽의 VoIP 통화를 감지 할 수 있습니다. 호환되는 인코딩으로 인코딩 된 경우 미디어 흐름을 재생할 수도 있습니다.
원시 USB 트래픽을 캡처 할 수 있습니다.
무선 연결은 모니터링되는 이더넷을 통과하는 한 필터링 할 수도 있습니다.
캡처 된 트래픽의 출력을 필터링하는 기능을 제공하기 위해 다양한 설정, 타이머 및 필터를 설정할 수 있습니다.
Wireshark의 기본 네트워크 추적 파일 형식은 libpcap 및 WinPcap 에서 지원하는 libpcap 형식 이므로 tcpdump 및 CA NetMaster 등 동일한 형식을 사용하는 다른 응용 프로그램과 캡처 된 네트워크 추적을 교환 할 수 있습니다 . 또한 snoop , Network General 의 Sniffer 및 Microsoft Network Monitor 와 같은 다른 네트워크 분석기에서 캡처를 읽을 수 있습니다 .

 

보안 
인터페이스에서 원시 네트워크 트래픽을 캡처하려면 일부 플랫폼에서 높은 권한이 필요합니다. 이러한 이유로 이전 버전의 Ethereal / Wireshark 및 tethereal / TShark는 종종 수퍼 유저 권한으로 실행되었습니다 . 트래픽이 캡처 될 때 호출되는 수많은 프로토콜 디스 섹터를 고려하고 해당 디스 섹터의 버그 가능성을 인식하면 심각한 보안 위험이 발생할 수 있습니다. 때문에 (많은 원격 코드 실행을 허용 할있는) 과거의 취약점과 더 나은 미래 개발을위한 개발자 의심의 오히려 많은 수의, 오픈 BSD는 이전에 오픈 BSD 3.6의 포트 트리에서 미묘한를 제거했습니다.

모든 작업에 높은 권한이 필요하지는 않습니다. 예를 들어, 수퍼 유저 권한으로 Wireshark와 함께 제공 되는 tcpdump 또는 dumpcap 유틸리티 를 실행 하여 패킷을 파일로 캡처하고 나중에 제한된 권한으로 Wireshark를 실행하여 패킷을 분석하는 방법이 있습니다. 거의 실시간 분석을 에뮬레이션하기 위해 캡처 된 각 파일을 mergecap 에 의해 Wireshark에서 처리하는 증가하는 파일로 병합 할 수 있습니다 . 무선 네트워크에서 Aircrack 무선 보안 도구를 사용하여 IEEE 802.11 프레임 을 캡처 하고 Wireshark로 결과 덤프 파일을 읽을 수 있습니다.

Wireshark 0.99.7부터 Wireshark 및 TShark는 트래픽 캡처를 수행하기 위해 dumpcap을 실행합니다. 트래픽을 캡처하기 위해 특별한 권한이 필요한 플랫폼은 해당 권한으로 실행되는 dumpcap 만 필요합니다. Wireshark와 TShark는 특별한 권한이 필요하거나 실행되어서는 안됩니다.

색상 코딩 
Wireshark는 사용자가 트래픽 유형을 한 눈에 식별 할 수 있도록 패킷의 특정 필드와 일치하는 규칙을 기반으로 패킷에 색상을 지정할 수 있습니다. 기본 규칙 세트가 제공됩니다. 사용자는 패킷 색상 지정에 대한 기존 규칙을 변경하거나 새 규칙을 추가하거나 규칙을 제거 할 수 있습니다.

시뮬레이션 패킷 캡처 
Wireshark는 또한 ns , OPNET Modeler 및 NetSim 과 같은 대부분의 네트워크 시뮬레이션 도구에서 패킷을 캡처하는 데 사용할 수 있습니다 .