와이어샤크 명령어로 실행하기

와이어샤크를 명령어를 통해 실행하고 싶을 땐?

와이어샤크의 CLI(Command Line Interface) 버전인 tshark를 이용하는 방법이 아니라 UI 버전을 CMD로 실행시키는 경우이다. 각종 옵션을 활용하여 실행 이전에 다양한 설정을 적용할 수도 있고 특정 이벤트 발생 시 네트워크가 자동으로 캡쳐되도록 동작할 수도 있다.

내용 상세 참고; http://www.wireshark.org/docs/wsug_html_chunked/ChCustCommandLine.html

>> 테스트 환경

Windows7 SP1 64bit

wireshark 1.8.7

>> 환경변수 추가

path ; C:\Program Files\Wireshark

>> 관리자 권한

윈도우 비스타 이상의 환경에서는 관리자권한으로 실행되는 부분을 신경써야 한다. 가끔씩 권한이 다른 경우 응용프로그램에 따라 트래픽 캡쳐가 제대로 이루어지지 않는 경우가 있다.

>> 실행

- 인터페이스 확인 ; wireshark -D

 [-D] print list of interfaces and exit

- 캡쳐 시작 ; wireshark -i 1 -k

 [-i] <interface>

 [-k] start capturing immediately (def: do nothing)

- 캡쳐 & 저장 ; wireshark -i 1 -k -w test.pcap

 [-w] <outfile|-> set the output filename (or '-' for stdout)

 

 이렇게 실행하면 와이어샤크에서 x 버튼을 클릭하면 저장메시지를 묻지 않고 바로 해당 파일로 저장된다.

- 옵션 설정 ; wireshark -i 1 -k -f "host 172.xxx.xxx.xxx"

 [-f] <capture filter> packet filter in libpcap filter syntax

 하지만 기존에 display filter에서 사용한 문법은 다음과 같은 에러가 발생한다.

 wireshark -i 1 -k -f "ip.addr eq 172.xxx.xxx.xxx"

 

 즉, 디스플레이 필터와 캡쳐 필터 문법은 다르다. 쉽게  libpcap/WinPcap 라이브러리를 사용하는 tcpdump에서의 문법과 같다고 생각하면 된다.

 Wireshark uses the same syntax for capture filters as tcpdump, WinDump, Analyzer, and any other program that uses the libpcap/WinPcap library.

 캡쳐 필터 사용법 -> http://wiki.wireshark.org/CaptureFilters

※ 참고 

와이어샤크의 CLI버전인 tshark도 실행방법이 크게 다르지 않다. 자세한 내용은 아래 링크를 참고 :)

http://www.wireshark.org/docs/man-pages/tshark.html

- 인터페이스 확인 ; tshark -D

- 캡쳐시작 ; tshark -i 1

- 캡쳐&저장 ; tshark -i 1 -w test.pcap

- 옵션 설정 ; tshark -i 1 -f "host 1.2.3.4"