Wireshark 을 이용한 패킷 덤프
이 게시글은 Wireshark 을 이용하여 어떻게 패킷 덤프를 하는지 간략하게 적고자 합니다. 간혹 새로운 게임을 지원받고자 하거나 미꾸라지 이용 시 문제점이 있을 경우, 효율적인 문제 분석 방법 중 하나가 패킷 덤프를 이용한 방법입니다.
- 반드시 패킷 덤프를 실행하실 때는 "유선"랜 (케이블을 이용한 네트워크 연결)을 통해서 하셔야 합니다. 무선랜의 경우 WinPcap 라이브러리가 제대로 동작하지 않는 경우가 있으며 AirPcap 의 경우 상용이라 이용이 힘듭니다.
Wireshark 설치하기
Wireshark 홈페이지에 접속하여 최신 배포판을 설치하여야 합니다. 공식 홈페이지 주소는 https://www.wireshark.org/ 이며 설치 시 보통 winpcap 배포판도 함께 설치됩니다.
Microsoft Windows NT 10.0 (빌드 1607) / NDIS 6 이상에서 제대로 작동하지 않는다면 Win10Pcap 또는 Npcap 을 설치해 보시기 바랍니다.
설치 후 실행하시면 아래와 같은 화면을 보실 수 있을 것입니다. 그럼 Wireshark 설치는 문제없이 된 것입니다! 이제 패킷 덤프를 해볼까요?
Wireshark 을 이용하여 패킷 덤프하기
우선 패킷 덤프를 하기 전에, P2P 프로그램 혹은 실행하신 브라우저, 다운로드 프로그램, 미꾸라지를 모두 중지합니다. 그렇지 않을 경우 패킷 덤프 파일이 필요이상으로 커질 수 있으며 제가 패킷 분석 시 너무 많고 다양한 패킷들로 인해 분석에 어려움을 격을 수 있습니다.
아래의 사진과 같이 왼쪽 상단의 아이콘 (List the available capture interfaces) 을 클릭하여 현재 컴퓨터에 존재하는 네트워크 인터페이스 정보를 열람합니다.
그럼 아래와 같은 Popup 창이 뜨게 되는데, 이 윈도우에서 어떤 네트워크 인터페이스를 패킷 덤프를 할지 선택하게 됩니다. 여기서 TAP-Win32 Adapter V9 이라고 명명된 네트워크 인터페이스는 미꾸라지가 사용하는 네트웍 인터페이스이고, Intel(R) 82579LM Gigabit Network Connection 은 현제 제가 사용하는 노트북에 달려있는 ethernet 카드 인터페이스입니다. (사용자의 컴퓨터마다 ethernet 카드는 모두 제각각이기 때문에 이름이 다를 수 있음을 알아 주세요. 보통 Popup 창을 뛰운 후 Packets 수가 주기적으로 증가하는 인터페이스가 보통 인터넷과 연결된 것입니다.)
이 게시글에서는 Intel(R) 82579LM Gigabit Network Connection 인터페이스를 패킷 덤프한다고 가정합니다. 해당 인터페이스의 옆에 있는 Start 버튼을 클릭하면 패킷 덤프가 시작됩니다.
그럼 아래와 같은 화면을 보실 수 있을 것입니다. 현재 패킷 덤프가 진행 중임을 나타냅니다.
이제 다른 사용자와 게임을 진행합니다! 간혹 다른 사용자와 게임을 진행하지 않고 단순 패킷 덤프만 떠서 보내주시는 경우가 있는데요, 그럴 경우 전혀 분석에 도움이 안됩니다. ㅠ.ㅠ
Wireshark 중지 후 패킷 덤프 저장하기
원하는 시간 혹은 양만큼 패킷 덤프를 하셨다면 이제 패킷 덤프를 중지하고 저장을 해야 합니다. 패킷 덤프를 중지하실려면 아래 사진에 볼 수 있는 중지 아이콘 (Stop the running live capture) 을 클릭하십시오.
이제 패킷 덤프는 중지되었습니다. 특정 파일로 저장하는 일만 남았습니다. 상단 메뉴 File → Save 클릭을 이용하셔서 파일로 저장합니다.
support@loxch.com 으로 해당 파일을 보내주시면 문제 분석 혹은 새 게임 등록 처리를 해드립니다. 절대 포럼에 패킷 덤프 파일을 업로드하지 마시고 E메일을 통해 패킷 덤프 파일을 보내주시기 바랍니다. 패킷 덤프 내에 경우에 따라 중요 정보가 있을 수 있기 때문에 보안 문제가 발생될 수 있습니다.