와이어샤크 프로그램은 로컬 네트워크 대역의 모든 패킷을 캡처할 수 있는 기능을 가지고 있다.
주 기능은 클라이언트와 서버 간의 통신이 이루어지는 모든 패킷 조각을 확인함으로써 데이터 평문 전송, 불필요한 패킷, 악성코드 획득 등을 확인하는 용도로 사용한다.
윈도우, 리눅스, MacOS 등 다양한 운영체제를 지원하며 윈도우 7 시절부터 사용해 왔다.
며칠 전 와이어샤크 프로그램을 실행하는데 계속 에러 창이 나타나고, 패킷을 캡처할 수 있는 네트워크 장치 목록이 나타나지 않아 패킷을 캡처할 수 없게 된다.
네트워크 장치 목록이 나타나지 않으면 패킷을 캡처할 장치를 선택할 수 없으니 최종적으로 패킷을 캡처할 수 없는 상태가 된다.
프로그램을 실행하면 "NPF" 드라이버가 실행 중이지 않습니다" 경고 메시지가 나타난다.
| The NPF driver isn't running. You may have trouble capturing or listing interfaces. |
와이어샤크 프로그램을 설치하면 자동으로 WinPcap 프로그램이 설치된다. (리눅스 운영체제 : Libpcap) WinPcap 프로그램은 NPF(NetGroup Packet Filter Driver) 패킷 필터 드라이브를 사용한다.
윈도우 운영체제를 사용하다 보면 가끔씩 백신 프로그램이 해당 서비스를 중지하는 경우가 발생하여 와이어샤크 프로그램이 정상적으로 실행되지 않는다.
윈도우의 문제인지는 잘 모르겠으나 윈도우 7에서 잘 사용하던 프로그램이 윈도우 10에서 NPF 서비스가 중지된 현상이 자주 발생한다.
해결 방법은 간단한데 NPF 서비스를 실행하고 와어어샤크 프로그램을 재실행하면 된다.
cmd 창을 관리자 권한으로 열고 net start npf 명령어를 입력하면 NPF 서비스가 시작된다. 관리자 권한으로 실행하지 않고 해당 명령어를 입력하면 권한이 없어 서비스를 시작할 수 없다는 메시지가 나타나므로 꼭 관리자 권한으로 cmd 창을 열어서 입력해야 한다.
NPF 서비스가 정상적으로 실행되었으니 NPF를 사용하는 프로그램도 제대로 동작할 것이다.
기존에 실행한 와이어샤크 프로그램을 종료하고, 다시 실행하면 Capture(캡처) 화면에 네트워크 장치 목록이 나타난다. 해당 장치 목록이 나타나야 패킷을 캡처할 수 있는 상태가 된다.
