[윈도우11, windows11] 와이어샤크(WireShark) CLI버전 TShark 사용하기

[윈도우11, windows11] 와이어샤크(WireShark) CLI버전 TShark 사용하기

[윈도우11, windows11] 와이어샤크(WireShark) CLI버전 TShark 사용하기

이전에 와이어 샤크(Wireshakr)관련 포스팅을 몇번 진행을 했었습니다. 그러면서, 와이어 샤크(Wireshark)관련해서 몇가지 부분들에 대해서 인지하기 시작하였습니다. 하지만, 윈도우에서 와이어샤크(Wireshark)을 실행할 경우에 프로그램이 무겁거나 로딩에 시간소요가 되는 경우가 많았습니다. 그래서 이번 포스팅에서는 와이어샤크(Wireshark)을 커맨드 기반으로 실행하는 CLI 버전을 사용하는 방법에 대해서 이야기를 해보고자 합니다. 흔히들 와이어샤크(Wireshark)의 CLI기반 버전을 Tshark라고 합니다. 우선 이번 포스팅을 진행하기에 앞서, 와이어샤크(Wireshark)을 설치하셔야 합니다. 설치가 되지 않으신 분들은 하기 링크를 통해서 설치를 진행해 주시길 바랍니다. 

[윈도우10, windows10]이더넷(Ethernet) 패킷 분석 프로그램 와이어샤크(wireshark)설치하기

[윈도우10, windows10]이더넷(Ethernet) 패킷 분석 프로그램 와이어샤크(wireshark)설치하기

위의 링크를 통해서 설치되었거나, 아니면, 기존 설치되어 있는 부분들을 토대로, 와이어 샤크가 설치된 경로로 이동해 주시길 바랍니다. 그럼 그 폴더내에서 tshark라는 응용프로그램을 확인할 수 있습니다. 

와이어샤크(Wireshark) 설치 폴더

그럼, 이 폴더 기준으로 cmd창을 열어 주시길 바랍니다. 그런 후에 tshark을 실행해 주시면, 기본 설정된 인터페이스를 토대로 패킷 캡처를 진행하게 됩니다. 그리고, 임시 폴더에 저장되는 패킷 이름을 확인할 수 있습니다. 

tshark 실행화면

그럼 여기에서 tshark을 이용하여, 현재 존재하는 네트워크 드라이버들에 대해서 나열할 수 있습니다. 다음과 같은 명령어를 통해서 진행이 가능합니다. 

tshark -D

그럼 다음과 같이 현재 존재하는 네트워크 인터페이스들에 대해서 나열이 가능합니다. 

tshark을 이용한 네트워크 디바이스 나열

그럼, 만약 위에서 특정 인터페이스를 기반으로 패킷 캡처를 진행하시고자 한다면 다음과 같은 명령어를 입력하시면 됩니다. 

tshark -i "인터페이스 이름 / ID"

예시를 들면 다음과 같이 tshark -i "이더넷" 형태로 진행을 해봤습니다. 

만약 이러한 부분에서 display filter을 적용한다면 -Y를 사용하시면 됩니다. 

dispaly 필터 적용

이와 같은 방법으로 와이어샤크(Wireshark)의 CLI 버전인 tshark을 실행할 수 있습니다. 

[윈도우10/11, windows10/11] 와이어샤크(wireshark)에서 pcap파일 저장되는 임시 폴더 변경하기

[윈도우10/11, windows10/11] 와이어샤크(wireshark)에서 pcap파일 저장되는 임시 폴더 변경하기

이번 포스팅에서는 [윈도우11, windows11] 와이어샤크(WireShark) CLI버전 TShark 사용하기라는 주제로 포스팅을 해봤습니다. 실제로 이 부분을 잘 활용하다면, 보다 쉽게 패킷을 분석할 수 있을 것입니다. 혹 궁금하신 거나 문의 사항이 있으시면 언제든지 댓글 및 방명록에 글 남겨주시길 바랍니다.