Mac Wireshark permission capture(권한문제)

맥북에서 패킷덤프를 떠야할 때가 있죠?

 

하지만 패킷덤프 시작을 누르면 아래와 같이 에러가 발생합니다.

 

어떻게 해결할까요?

 

 

You do not have permission to capture on device "en0".

((cannot open BPF device) /dev/bpf0: Permission denied)

Please check to make sure you have sufficient permissions.

 

If you installed Wireshark using the package from wireshark.org, close this dialog and click on the "installing ChmodBPF" link in "You can fix this by installing ChmodBPF." on the main screen, and then complete the installation procedure.

 

원인

패킷 캡쳐 권한이 없어서 캡쳐를 할 수 없습니다.

BPF 권한을 주지 않아서 이런 에러가 나게 됩니다.

 

BPF의 주요 개념

Berkeley Packet Filter(BPF)

목적: 네트워크 패킷을 고성능으로 캡처하고 필터링하는 메커니즘을 제공합니다.

특징: 커널 내부에서 패킷을 필터링하므로, 불필요한 데이터를 사용자 공간(user space)로 전달하지 않아 성능이 매우 뛰어납니다.

BPF 장치 파일(/dev/bpf*)

macOS와 같은 Unix 계열 시스템에서 BPF는 장치 파일로 노출됩니다. /dev/bpf0, /dev/bpf1 등의 장치 파일을 통해 네트워크 패킷 캡처 애플리케이션이 커널과 상호작용합니다.

각 BPF 장치는 독립된 네트워크 인터페이스와 연결될 수 있습니다.

 

역할:

패킷 캡처: 네트워크 트래픽을 읽고 분석할 수 있도록 합니다.
필터링: 특정 조건에 맞는 패킷만 캡처하도록 제한할 수 있습니다. 예를 들어, tcpdump에서 특정 포트나 프로토콜만 필터링하는 기능은 BPF를 사용합니다.

 

 

해결방법

두가지 방법이 있습니다.

 

첫번째는 설치파일에 있는 Install ChmodBPF.pkg 를 설치하는 겁니다.

 

Wireshark 설치시 압축파일을 열어보면 아래와 같습니다.

 

여기서 Install ChmodBPF.pkg 를 설치하면됩니다.

 

두번째는 수동으로 직접 권한을 설정하는 방법입니다.

 

sudo chwon $USER /dev/bpf*

 

위의 명령어를 입력하면 /dev/bpf* 에 내 유저계정 권한이 들어가게 됩니다.