개요

• 와이어샤크는 패킷 스니핑 애플리케이션 중에 하나.

역사

• 1998년에 GNU public license에 따라 처음 발표됐고, 2006년에 wireshark라는 이름으로 변경됐다고 함.
  현재 500명 정도가 개발하고 있다고 함!

장점

• 1000개 이상의 다양한 프로토콜을 지원한다고 함.
  IP, DHCP, DNP3?, BitTorrent 등

• 사용자 편의성
  GUI

• 비용 무료

• 커뮤니티 활발

• 오픈소스라서 소스코드 볼 수 있음!
  wireshark github
  무려 85000개의 커밋...

• 여러 운영체제 지원
  윈도우, 리눅스, OS X 등

설치

• Wireshark 공식 홈페이지 Download
  ChmodBPF.pkg라는 것도 설치해줘야 함. (와이어샤크 시작하면 화면에 설치링크 있어서 그거 클릭하면 됨.)
  패킷 캡처 권한 설정 관련된 거라고 함.
• brew를 이용한 설치도 가능한듯?

와이어샤크 기초

• 메인 창
  캡처한 모든 패킷이 나타남.
  패킷 목록, 패킷 세부 정보, 패킷 바이트(원시 형식의 패킷) 등 확인 가능.

• 설정
  패킷 캡처 방식(capture), 트래픽 필터(filter expressions), 통계(statistics) 등의 관련 설정 가능.

• coloring rules

구성 파일, 프로파일

...

질문들

• DNP3 프로토콜 모름

• BitTorrent 프로토콜 잘 모름

• WinPcap/libpcap 캡처 드라이버(라이브러리?)가 뭔지 모름.
  -> Winpcap이 pcap 패킷 캡처 API의 윈도우 구현이라고 함.
  libpcap은 리눅스용 패킷(layer 2 = 데이터링크 계층) 캡처 API라고 함.

• 구성 파일, 프로파일 사용법 잘 모르겠음..