패킷 캡처 실습: 와이어샤크(Wireshark)로 L2/L3 헤더 뜯어보는 완전 입문 가이드

패킷 캡처 실습 와이어샤크(Wireshark)로 L2L3 헤더 뜯어보기

와이어샤크(Wireshark)로 L2/L3 헤더 뜯어보는 완전 입문 가이드

"패킷 캡처"는 네트워크를 흐르는 데이터를 실시간으로 잡아내는 기술이다. Wireshark를 이용하면 내 PC에서 오가는 모든 패킷을 열어볼 수 있고, L2 이더넷 헤더의 MAC 주소부터 L3 IP 헤더의 출발지/목적지 IP까지 한 눈에 분석할 수 있다. 네트워크 공부의 진짜 시작은 이 툴을 쓸 줄 아는 순간부터다.

📌목차

• Wireshark란 무엇이고 왜 써야 하는가
• 설치 및 기본 인터페이스 이해
• 첫 번째 패킷 캡처 시작하기
• L2 이더넷 헤더 뜯어보기
• L3 IP 헤더 뜯어보기
• 실전 필터 사용법
• ARP, ICMP, TCP 패킷 분석 실습
• 캡처 파일 저장과 공유

🔬 Wireshark란 무엇이고 왜 써야 하는가

Wireshark는 오픈소스 패킷 분석 도구로, 네트워크 인터페이스에서 실시간으로 패킷을 캡처하고 분석한다. Windows, Linux, macOS 모두 지원한다. 네트워크 장애 트러블슈팅, 보안 분석, 프로토콜 학습에 두루 사용된다. 전 세계 네트워크 엔지니어, 보안 전문가, 학생들이 표준 툴로 사용한다.

"패킷 캡처"를 통해 실제 데이터가 어떻게 오가는지 눈으로 보면, 교과서로만 배웠던 OSI 7계층, 이더넷 프레임 구조, IP 헤더 구조가 비로소 실감나게 이해된다. 이론과 실습을 연결해주는 다리가 바로 Wireshark다.

💾 설치 및 기본 인터페이스 이해

https://www.wireshark.org/download.html 에서 OS에 맞는 버전을 다운로드해 설치한다. Windows에서는 WinPcap 또는 Npcap 드라이버도 함께 설치해야 패킷 캡처가 가능하다. 설치 중 Npcap 설치 옵션을 체크하면 된다.

Wireshark 화면은 크게 세 파트로 나뉜다. 상단 패킷 목록(Packet List), 중간 패킷 세부 정보(Packet Details), 하단 원시 데이터(Packet Bytes). 패킷 목록에서 하나를 클릭하면 해당 패킷의 각 계층 헤더가 트리 구조로 펼쳐진다. "패킷 캡처" 결과를 읽는 핵심 화면이다.

▶️ 첫 번째 패킷 캡처 시작하기

Wireshark 실행 → 메인 화면에서 캡처할 네트워크 인터페이스 선택(Wi-Fi 또는 이더넷) → 더블클릭하면 "패킷 캡처" 시작. 패킷이 실시간으로 올라오기 시작한다.

캡처 중에 cmd/터미널에서 ping 8.8.8.8을 실행해보자. ICMP Echo Request/Reply 패킷이 올라오는 걸 볼 수 있다. 정지 버튼(빨간 사각형)으로 캡처를 멈추고 분석을 시작할 수 있다.

처음 캡처하면 수백 개 패킷이 한꺼번에 올라와 당황스러울 수 있다. 당황하지 말고 필터부터 배우자. icmp 필터를 입력하면 ICMP 패킷만 보인다.

🌐 L2 이더넷 헤더 뜯어보기

패킷 목록에서 패킷 하나를 클릭하면 중간 창에 계층별 정보가 펼쳐진다. "Ethernet II" 항목을 클릭해서 펼치면 이더넷 헤더(L2) 내용이 보인다.

주요 필드: Destination(목적지 MAC 주소), Source(출발지 MAC 주소), Type(상위 프로토콜 타입, IPv4=0x0800, ARP=0x0806, IPv6=0x86DD). 이 세 가지가 이더넷 헤더의 핵심이다.

예를 들어 ping 패킷을 보면 Source MAC은 내 PC의 MAC, Destination MAC은 게이트웨이(라우터)의 MAC이다. 인터넷으로 나가는 패킷이라도 L2 목적지는 게이트웨이 MAC이다. L2와 L3 주소의 역할이 다르다는 것을 "패킷 캡처"로 직접 확인할 수 있다.

📦 L3 IP 헤더 뜯어보기

"Internet Protocol Version 4" 항목을 펼치면 L3 IP 헤더가 보인다. 주요 필드: Source Address(출발지 IP), Destination Address(목적지 IP), TTL(Time to Live), Protocol(상위 프로토콜, ICMP=1, TCP=6, UDP=17), Header Checksum.

TTL은 패킷이 라우터를 하나 거칠 때마다 1씩 줄어든다. 0이 되면 폐기된다. ping 패킷의 TTL이 64나 128로 시작해서 목적지에 도달할 때까지 줄어드는 것을 볼 수 있다. traceroute가 어떻게 동작하는지 이 원리로 이해할 수 있다.

L2 목적지 MAC은 홉마다 바뀌지만 L3 목적지 IP는 최종 목적지까지 바뀌지 않는다는 것, "패킷 캡처"로 직접 보면 개념이 명확해진다.

🔍 실전 필터 사용법

Wireshark의 강력함은 필터에 있다. 주요 필터 모음:

특정 IP 필터: ip.addr == 192.168.1.1 출발지 IP: ip.src == 192.168.1.100 목적지 IP: ip.dst == 8.8.8.8 ICMP만: icmp ARP만: arp TCP 포트 80(HTTP): tcp.port == 80 특정 MAC: eth.addr == aa:bb:cc:dd:ee:ff TCP SYN만(연결 시도): tcp.flags.syn == 1 && tcp.flags.ack == 0

필터를 조합하면 원하는 패킷만 정밀하게 골라볼 수 있다. "패킷 캡처" 실력은 결국 필터 작성 실력이다.

📡 ARP, ICMP, TCP 패킷 분석 실습

ARP 분석: arp 필터로 ARP Request/Reply 확인. Request에는 Target IP Address만 있고 MAC은 00:00:00:00:00:00. Reply에는 실제 MAC이 채워진다. ARP 동작 원리를 눈으로 확인하는 실습이다.

ICMP 분석: icmp 필터로 ping 패킷 확인. Echo(ping) Request와 Reply가 쌍으로 온다. 각 패킷의 Sequence Number로 요청-응답 매핑 확인 가능. TTL 값으로 네트워크 홉 수 추정도 가능하다.

TCP 3-way Handshake: tcp.flags.syn == 1 필터로 TCP 연결 시작 패킷만 확인. SYN → SYN-ACK → ACK 순서가 보인다. HTTPS 연결이라면 이후 TLS Handshake 패킷도 이어진다.

💾 캡처 파일 저장과 공유

File → Save As로 .pcap 또는 .pcapng 형식으로 저장 가능하다. 저장된 파일은 나중에 다시 열어 분석하거나 동료와 공유해서 함께 분석할 수 있다. 온라인 "패킷 캡처" 분석 도구인 CloudShark나 A-Packets에서 브라우저로도 .pcap 파일을 분석할 수 있다.

주의: 패킷 캡처에는 개인정보, 인증 정보가 포함될 수 있다. 업무 환경에서는 반드시 적절한 권한과 정책 하에 수행해야 하고, 캡처 파일 공유 시 민감 정보를 마스킹해야 한다.

---

출처 및 참고자료

• Wireshark Official Documentation: https://www.wireshark.org/docs/
• Wireshark Display Filter Reference: https://www.wireshark.org/docs/dfref/
• IETF RFC 791 - Internet Protocol
• IEEE 802.3 Ethernet Standard