1. WinPCap란?

– 운영체제의 Network Interface Card들은 자신의 인터페이스로 들어오는 패킷 중 목적지 하드웨어 어드레스가 자신이 아닐 경우는 상위로 올려보내지 않고 버리게 돼 있다. 그래서 이런 패킷들을 모두 애플리케이션단까지 올려서 사람이 보려면 별도의 툴을 설치해야 한다. 바로 이 툴이 WinPcap다. WinPcap는 해당 홈페이지(http://www.winpcap.org/install/default.htm)에서 다운로드 받을 수 있다. (참고로 리눅스에서는 WinPcap대신 libpcap가 그 역할을 한다).

WinPcap이 스니핑하는 어플리케이션이 아니고 스니핑하는 모듈만 제공하는 것이므로 스니핑을 위한 툴인 Ethereal을 설치해주어야 한다. 주의할 점은 Ethereal 설치 전 WinPcap 을 먼저 설치 해주어야 한다.
(http://ethereal.en.softonic.com/ 에서 다운로드)

2. Ethereal 를 사용해보자
-Ethereal을 실행시켜보자. 메뉴의 Capture의 start를 클릭한다.
클릭하면 다음과 같은 옵션 설정 화면이 나온다.
옵션은 특별히 설명할 필요도 없이 간단하다. 가장 먼저 LAN 카드의 종류를 선택하도록 돼 있다. 다음으로 필터링 옵션이 있는데, 이 부분은 옵션 사용 방법을 조금 알아야 한다. 아무것도 넣지 않으면 모든 패킷이 다 캡처돼 출력되기 때문에 원하는 패킷만을 볼 수 없다. 다음으로 파일 옵션은 캡처된 파일을 별도의 파일로 저장할 수 있도록 한다. 이 기능을 이용하면 저장했다가 나중에 필요할 때 불러서 다시 사용할 수 있다. 화면 옵션은 캡처된 파일을 실시간으로 보여줄 것인지 아니면 캡처가 끝난 다음에 보여줄 것인지를 결정한다. ‘화면 옵션’은 장단점이 있다. 실시간으로 보게 될 경우 즉각적으로 패킷들을 볼 수 있는 반면, 패킷이 많을 때는 프로그램 구동에 부하를 줄 수도 있다. 하지만 일반적인 네트워크에서는 부하 정도까지는 아니어서 실시간으로 보아도 무리가 없다. 캡처 제한 옵션은 숫자, 시간, 사이즈에 따라 선택할 수 있도록 돼 있으며, 이름 해석 부분은 패킷을 분석할 때 나타나는 하드웨어 어드레스, IP 어드레스, 포트 번호에 대해서 이름 해석을 할지를 묻는 메뉴이다. 옵션 설정이 끝났다면 그 다음은 ‘OK’를 누르면 된다.

3. Wireshark
Wireshark는 Ethereal 팀의 일원이었던 제럴드 콤즈 라는 사람이 팀을 탈퇴 후 새로 개발한 프로젝트 입니다.
Ethereal 은 개발이 중단 되었는데 Wireshark는 계속 개발되고 있습니다.
http://www.wireshark.org/ 에서 다운 로드 할 수 있습니다.