Wireshark 을 이용한 패킷 덤프

이 게시글은 Wireshark 을 이용하여 어떻게 패킷 덤프를 하는지 간략하게 적고자 합니다. 간혹 새로운 게임을 지원받고자 하거나 미꾸라지 이용 시 문제점이 있을 경우, 효율적인 문제 분석 방법 중 하나가 패킷 덤프를 이용한 방법입니다.

• 반드시 패킷 덤프를 실행하실 때는 "유선"랜 (케이블을 이용한 네트워크 연결)을 통해서 하셔야 합니다. 무선랜의 경우 WinPcap 라이브러리가 제대로 동작하지 않는 경우가 있으며 AirPcap 의 경우 상용이라 이용이 힘듭니다.

Wireshark 설치하기

• Wireshark 홈페이지에 접속하여 최신 배포판을 설치하여야 합니다. 공식 홈페이지 주소는 https://www.wireshark.org/ 이며 설치 시 보통 winpcap 배포판도 함께 설치됩니다.

  

  Microsoft Windows NT 10.0 (빌드 1607) / NDIS 6 이상에서 제대로 작동하지 않는다면 Win10Pcap 또는 Npcap 을 설치해 보시기 바랍니다.

• 설치 후 실행하시면 아래와 같은 화면을 보실 수 있을 것입니다. 그럼 Wireshark 설치는 문제없이 된 것입니다! 이제 패킷 덤프를 해볼까요?

  

Wireshark 을 이용하여 패킷 덤프하기

• 우선 패킷 덤프를 하기 전에, P2P 프로그램 혹은 실행하신 브라우저, 다운로드 프로그램, 미꾸라지를 모두 중지합니다. 그렇지 않을 경우 패킷 덤프 파일이 필요이상으로 커질 수 있으며 제가 패킷 분석 시 너무 많고 다양한 패킷들로 인해 분석에 어려움을 격을 수 있습니다.

• 아래의 사진과 같이 왼쪽 상단의 아이콘 (List the available capture interfaces) 을 클릭하여 현재 컴퓨터에 존재하는 네트워크 인터페이스 정보를 열람합니다.

  

• 그럼 아래와 같은 Popup 창이 뜨게 되는데, 이 윈도우에서 어떤 네트워크 인터페이스를 패킷 덤프를 할지 선택하게 됩니다. 여기서 TAP-Win32 Adapter V9 이라고 명명된 네트워크 인터페이스는 미꾸라지가 사용하는 네트웍 인터페이스이고, Intel(R) 82579LM Gigabit Network Connection 은 현제 제가 사용하는 노트북에 달려있는 ethernet 카드 인터페이스입니다. (사용자의 컴퓨터마다 ethernet 카드는 모두 제각각이기 때문에 이름이 다를 수 있음을 알아 주세요. 보통 Popup 창을 뛰운 후 Packets 수가 주기적으로 증가하는 인터페이스가 보통 인터넷과 연결된 것입니다.)

  

• 이 게시글에서는 Intel(R) 82579LM Gigabit Network Connection 인터페이스를 패킷 덤프한다고 가정합니다. 해당 인터페이스의 옆에 있는 Start 버튼을 클릭하면 패킷 덤프가 시작됩니다.

  

• 그럼 아래와 같은 화면을 보실 수 있을 것입니다. 현재 패킷 덤프가 진행 중임을 나타냅니다.

  

• 이제 다른 사용자와 게임을 진행합니다! 간혹 다른 사용자와 게임을 진행하지 않고 단순 패킷 덤프만 떠서 보내주시는 경우가 있는데요, 그럴 경우 전혀 분석에 도움이 안됩니다. ㅠ.ㅠ

Wireshark 중지 후 패킷 덤프 저장하기

• 원하는 시간 혹은 양만큼 패킷 덤프를 하셨다면 이제 패킷 덤프를 중지하고 저장을 해야 합니다. 패킷 덤프를 중지하실려면 아래 사진에 볼 수 있는 중지 아이콘 (Stop the running live capture) 을 클릭하십시오.

  

• 이제 패킷 덤프는 중지되었습니다. 특정 파일로 저장하는 일만 남았습니다. 상단 메뉴 File → Save 클릭을 이용하셔서 파일로 저장합니다.

• support@loxch.com 으로 해당 파일을 보내주시면 문제 분석 혹은 새 게임 등록 처리를 해드립니다. 절대 포럼에 패킷 덤프 파일을 업로드하지 마시고 E메일을 통해 패킷 덤프 파일을 보내주시기 바랍니다. 패킷 덤프 내에 경우에 따라 중요 정보가 있을 수 있기 때문에 보안 문제가 발생될 수 있습니다.