Npcap 은 윈도우용 패킷 캡처 라이브러리로, 유명한 네트워크 스니퍼 Wireshark나 보안 툴 Nmap에서 기본적으로 사용하는 드라이버/라이브러리입니다. 구버전 WinPcap을 대체하기 위해 개발되었고, 성능·보안·호환성이 크게 개선된 것이 특징입니다.

 

🔹 핵심 개념

  • 역할: OS 커널 레벨에서 네트워크 패킷을 가로채거나 주입(injection)할 수 있게 해주는 드라이버.
  • 동작 방식:
    • 네트워크 인터페이스 카드(NIC)의 프라미스큐어스(promiscuous) 모드를 사용해 모든 패킷을 캡처 가능.
    • 네트워크 트래픽을 유저 모드 어플리케이션으로 전달.
    • 필요하면 사용자 요청에 따라 패킷을 **전송(inject)**할 수도 있음.

🔹 WinPcap 대비 주요 개선점

  1. Windows 10/11 공식 지원 (WinPcap은 업데이트 중단됨).
  2. NDIS 6.x 드라이버 모델 기반 → 최신 네트워크 스택과 호환.
  3. 루프백 캡처 지원: Npcap Loopback Adapter를 통해 로컬에서 발생한 트래픽(127.0.0.1)을 캡처 가능.
    • WinPcap은 로컬호스트 트래픽을 캡처할 수 없었음.
  4. 패킷 전송(injection) 성능 향상.
  5. 보안 모드 제공: 일반 사용자 권한으로도 캡처 가능 여부 제어 가능.
  6. WinPcap 호환 모드 포함: 기존에 WinPcap API(wpcap.dll)를 사용하는 프로그램도 그대로 실행 가능.

🔹 구성 요소

  • Npcap 드라이버 (npcap.sys): 커널 모드에서 동작하며 패킷 캡처/전송 처리.
  • wpcap.dll / packet.dll: 유저 모드 라이브러리. 프로그램이 드라이버와 통신할 때 사용.
  • Npcap Loopback Adapter: 로컬 루프백 트래픽 캡처용 가상 어댑터.
  • Developer SDK: C/C++ API 제공 (libpcap과 거의 동일).

🔹 설치 옵션

  • WinPcap API-compatible Mode: 레거시 호환 모드.
  • Support raw 802.11 traffic: 무선(Wi-Fi) 프레임 캡처 지원.
  • Restrict Npcap driver's access to Administrators only: 관리자 전용 모드.
  • Install Npcap in WinPcap API-compatible Mode: 옛 프로그램 호환용.

🔹 활용 예시

  • 보안 툴: Nmap, Wireshark, Snort, Suricata 등.
  • 개발/리서치: 패킷 분석, IDS/IPS 연구, 네트워크 트래픽 모니터링.
  • 엔지니어링: 특정 프로토콜 디버깅, VoIP 품질 분석, 악성코드 행위 분석.

🔹 장단점

✅ 장점

  • 최신 Windows 지원
  • 루프백 캡처 가능
  • 안정적이고 빠른 패킷 전송/캡처
  • WinPcap 호환성 유지

⚠️ 단점

  • 상업적 사용은 라이선스 제약 있음 (무료는 개인/비상업적 연구 용도).
  • 일부 무선랜 카드에서 802.11 모드 캡처가 제한적.

🔹 원리 — Npcap이 어떻게 동작하는가 (핵심만)

  1. 역할과 계층
    • Npcap은 Windows에서 커널 드라이버(npcap.sys) + 유저모드 라이브러리(wpcap.dll 등) 조합으로 동작해 네트워크 인터페이스의 원시 패킷을 캡처하고(또는 주입) 유저프로세스에 전달한다. Npcap+1
  2. 드라이버 모델 (NDIS LWF)
    • Npcap은 최신 Windows 네트워크 스택인 NDIS 6.x 위의 Light-Weight Filter(LWF) 형태로 동작한다. 이 구조 때문에 Windows 10/11에서 안정적으로 동작하고 드라이버 서명 요구를 충족한다. (즉 WinPcap의 오래된 방식을 대체). Npcap+1
  3. 패킷 흐름(캡처)
    • NIC → NDIS 레이어 → Npcap 필터 드라이버가 패킷을 가로채어 내부 버퍼에 저장 → wpcap API 통해 유저프로세스(예: Wireshark, Nmap)에 전달.
    • 캡처 모드는 프라미스큐어스(promiscuous) 로 NIC가 수신 가능한 모든 패킷을 가로챌 수 있고, BPF/Winpcap 스타일 필터로 전달되는 패킷을 선별한다. Npcap
  4. 로컬루프백(127.0.0.1) 캡처
    • Npcap은 **가상 'Npcap Loopback Adapter'**를 제공해서 로컬호스트 트래픽을 캡처할 수 있다. 로컬 트래픽은 이 가상어댑터의 DLT_NULL 등 적절한 데이터링크 타입으로 노출된다(설정·필터 주의). wiki.wireshark.org+1
  5. 패킷 주입(전송)
    • Npcap은 단순 캡처뿐 아니라 pcap_sendpacket() 등 API로 **원시 패킷 전송(주입)**을 지원한다. 이로써 테스트 툴이나 보안도구에서 패킷 생성/재전송이 가능하다. Npcap
  6. 보안·권한·라이선스
    • 드라이버 서명, 관리자 전용 접근 옵션 등 보안 설정을 제공. 상업적 재배포나 OEM 번들링은 별도 라이선스/계약 필요(공식 안내 참조). Npcap+1

🔹 내부 동작의 실무적 포인트 (성능·정확성 관련)

  • 버퍼와 드롭: 커널→유저 전달에서 버퍼가 부족하면 패킷 손실 발생. pcap_set_buffer_size() 등으로 버퍼 조정 가능(애플리케이션에서 설정). Npcap
  • 필터 적용 시점: 캡처 필터(예: tcp port 80)는 커널 드라이버 단계에서 적용되어 전달량을 줄여 성능 향상. 디스플레이 필터는 유저모드에서 후처리. Npcap
  • 루프백 캡처 특이성: 루프백 어댑터 데이터링크 타입(DLT_NULL 등) 때문에 일부 Wireshark 디스플레이/필터 동작이 달라질 수 있음(예: MAC 관련 필터가 먹히지 않음). wiki.wireshark.org
  • 무선(802.11) 캡처 제약: 무선 프레임(raw 802.11) 캡처는 NIC 드라이버·하드웨어 지원에 크게 의존. Npcap은 옵션으로 raw 802.11 지원을 제공하지만 모든 카드에서 동작하지는 않음. Npcap+1

🔹 설치·설정(실무 가이드)

  1. 설치 옵션 추천(간단)
    • 일반: 기본 설치(WinPcap 호환 모드 선택 가능).
    • 루프백 캡처가 필요하면 Install Npcap Loopback Adapter 옵션 활성화.
    • 보안상 관리자 전용 접근을 원하면 해당 옵션 선택. Npcap+1
  2. 드라이버 호환성
    • Windows 7~11 지원. WinPcap으로 작성된 기존 앱은 WinPcap 호환 모드로 동작하는 경우가 많음. Npcap+1
  3. 실습: Wireshark에서 로컬호스트 캡처
    • 인터페이스 목록에서 Npcap Loopback Adapter 선택 → 캡처 시작 → ping 127.0.0.1 등으로 확인. 루프백 패킷은 DLT_NULL 등으로 나타남. wiki.wireshark.org+1

🔹 개발(코드 · API) — 핵심 예시(C 스타일, 개념만)

  • 기본 캡처 오픈
 
pcap_t *handle; char errbuf[PCAP_ERRBUF_SIZE]; handle = pcap_open_live("이더넷_인터페이스이름", 65536, 1, 1000, errbuf); if (!handle) { fprintf(stderr, "open failed: %s\n", errbuf); exit(1); }
  • 패킷 읽기 루프(콜백)
 
pcap_loop(handle, 0, packet_handler, NULL);
  • 원시 패킷 전송
 
int res = pcap_sendpacket(handle, packet_bytes, packet_len);
  • 위 API는 libpcap/pcap(Win: wpcap.dll) 호환 인터페이스이므로 기존 libpcap 예제·문서를 참고하면 바로 적용 가능. (Npcap SDK에 예제 포함) Npcap+1

🔹 실무 활용 사례 (짧고 현실적)

  • 네트워크 포렌식 / IDS: 실시간 트래픽 캡처→서명 검사/로깅.
  • 패킷 주입 기반 테스트: 방화벽·IDS 우회 실험, 프로토콜 테스트.
  • 루프백 캡처로 로컬 서비스 디버깅: 로컬 HTTP/IPC 트래픽 분석.
  • 자동화 스크립트/툴 통합: Nmap, Wireshark, Scapy(Windows에서 pcap 연동) 등과 함께 사용. Npcap+1

🔹 주의사항 / 트러블슈팅 체크리스트

  • 드라이버 설치 후 관리자 권한 문제 확인(특정 옵션은 관리자만 접근 가능). Npcap
  • 루프백 캡처가 안 보이면 설치 시 루프백 어댑터 옵션이 활성화되었는지 확인. wiki.wireshark.org
  • 고트래픽 링크에서는 유저모드 소비가 병목이 되어 패킷 드롭 발생 → 버퍼 늘리기·필터 적용 권장. Npcap
  • 무선(raw 802.11) 캡처 시 하드웨어·드라이버 제한을 의심하라. Npcap
  • 상업적 배포 시 라이선스/제공 조건 확인(재배포·OEM 관련). Npcap+1

🔹 권장 자료(빠르게 더 볼 만한 공식 링크)

  • Npcap 공식 페이지(개요·다운로드). Npcap
  • Npcap Reference / Developer Guide (API, SDK, 예제). Npcap+1
  • Wireshark: 루프백 캡처 설명(실습 팁). wiki.wireshark.org

'소프트웨어 > 상식' 카테고리의 다른 글

SSML : Speech Synthesis Markup Language  (0) 2025.10.19
Active Directory(AD)  (1) 2025.09.21
MQTT : 경량 게시-구독(Publish-Subscribe) 메시징 프로토콜  (0) 2025.09.20
RabbitMQ : 오픈소스 메시지 브로커  (0) 2025.09.20
Apache Kafka  (1) 2025.09.20

+ Recent posts

티스토리툴바