와이어샤크 ip 필터 - waieosyakeu ip pilteo

TAG

와이어샤크, 와이어샤크 디스플레이 필터링, 와이어샤크 캡쳐 필터링, 와이어샤크 필터링

관련글

• DNS Server가 되어보기 실습 2017.07.21

• 와이어샤크를 이용한 DHCP분석 및 해킹실습 2017.07.20

• DNS ( Domain Name System ) 2017.07.18

• DHCP ( Dynamic Host Configuration Protocol ) 2017.07.18

댓글 0

+ 이전 댓글 더보기

비공개 댓글 남기기

 wireshark를 활용하면서 가장 활용을 많이 하는 기능 중에 하나가 display filter 기능이다. tcpdump 를 활용하여 client server간 주고받은 packet을 file로 저장(확장자 .pcap)한 후, windows PC의 wireshark에서 pcap 파일을 확인한다. tcpdump로 packet을 저장할 때 사용한 option에 따라 상황은 다르겠지만 일반적으로 dump 속에는 내가 확인하고자 하는 packet 외에도 훨씬 다양한 packet들이 포함되어 있을 수 있다. (tcpdump 사용법 및 옵션은 링크 참고) 이런 불필요한 packet을 제외한 특정 Protocol과 관련된 packet만, 혹은 특정 port를 통해 주고받은 packet만 filtering하는 방법에 대해 간략히 소개해보려고 한다.

따라서 필터를 "ip.addr == 192.168.1.199"로 넣으면 Wireshark는 Source ip == 192.168.1.199 또는 Destination ip == 192.168.1.199인 모든 패킷을 표시합니다.

다른 방법으로 아래와 같이 필터를 작성합니다.

ip.src == 192.168.1.199 || ip.dst == 192.168.1.199

위의 디스플레이 필터에 대한 아래 스크린샷 참조

메모:

1. 필터를 입력할 때 디스플레이 필터 배경이 녹색인지 확인하십시오. 그렇지 않으면 필터가 유효하지 않습니다.

다음은 유효한 필터의 스크린샷입니다.

다음은 잘못된 필터에 대한 스크린샷입니다.

1. 논리적 조건 [ ||, && ]에 따라 여러 IP 필터링을 수행할 수 있습니다.

또는 조건:

(ip.src == 192.168.1.199 )||( ip.dst == 192.168.1.199)

그리고 조건:

(ip.src == 192.168.1.199)&&(ip.dst == 192.168.1.1)

Wireshark에 IP 주소 캡처 필터를 넣는 방법은 무엇입니까?

Wireshark에 캡처 필터를 넣으려면 아래 스크린샷을 따르세요.

메모:

1. 배경이 녹색인 경우 디스플레이 필터 캡처 필터도 유효한 것으로 간주됩니다.
2. 구문의 경우 디스플레이 필터가 캡처 필터와 다르다는 것을 기억하십시오.

유효한 캡처 필터를 보려면 이 링크를 따르십시오.

//wiki.wireshark.org/CaptureFilters

캡처 필터와 디스플레이 필터의 관계는 무엇입니까?

캡처 필터가 설정된 경우 Wireshark는 캡처 필터와 일치하는 패킷을 캡처합니다.

예를 들어:

Capture 필터는 아래와 같이 설정되고 Wireshark가 시작됩니다.

호스트 192.168.1.199

Wireshark가 중지되면 전체 캡처에서 192.168.1.199에서 오는 패킷만 볼 수 있습니다. Wireshark는 소스 또는 대상 IP가 192.168.1.199가 아닌 다른 패킷을 캡처하지 않았습니다. 이제 필터를 표시합니다. 캡처가 완료되면 디스플레이 필터를 넣어 해당 움직임에서 보고 싶은 패킷을 필터링할 수 있습니다.

다른 방법으로 우리는 사과와 망고 두 종류의 과일을 사도록 요청받았다고 가정해 보겠습니다. 여기 캡처 필터는 망고와 사과입니다. 망고[여러 종류]와 사과[초록색, 빨강색 등]를 가져왔으면 이제 모든 사과에서 녹색 사과만 보고 싶을 것입니다. 그래서 여기 녹색 사과는 디스플레이 필터입니다. 이제 과일에서 오렌지를 보여달라고 요청하면 오렌지를 사지 않았기 때문에 보여줄 수 없습니다. 모든 종류의 과일을 샀다면 [캡처 필터를 넣지 않았다는 의미] 오렌지를 나에게 보여줄 수 있었을 것입니다.

2020/05/03 - [분류 전체보기] - 와이어샤크(WireShark) 사용하기 (1) - 설치 / 패킷 캡처

 

▷ 필터링 기능

 

캡처 필터 : 캡처할 때 패킷 정보에 대해 미리 필터링을 거는 것 (패킷을 보낸 주소, 받은 주소, 프로토콜 정보 등)

화면 필터 : 캡처한 정보에 대해 필터링을 거는 것

 

(속도를 위해서는 캡처 필터, 정확성을 위해서는 화면 필터의 사용이 권장된다)

 

 

 

▷ 캡처 필터

 

캡처 옵션 Input 화면 하단에서 확인

 

초록색 책갈피를 누르면 사용할 수 있는 여러 옵션들이 뜬다. 이 외에도 직접 형태를 지정해 입력할 수 있다. 공부한 몇 가지를 소개하겠다.

 

src host 172.30.1.52  - 패킷을 보낸 주소 IP 지정

dst host 172.30.1.52 - 패킷을 받은 주소 IP 지정

 

host 172.30.1.52 && tcp port 80 (= host 172.30.1.52 and tcp port 80) - IP주소와 프로토콜 종류 지정

! port 80 = (not port 80) - 프로토콜 지정 및 부정(port 80을 제외한 프로토콜만 보이게 한다)

(논리 연산자와 함께 사용가능)

 

port 80이 뭔지 이해하기 위해서 포트에 대해 공부했다

 

 

 

 

포트(Port) : 호스트 내에서 실행되고 있는 프로세스를 구분짓기 위한 16비트의 논리적 할당

 

= 컴퓨터 안에서 프로그램을 실행할 수 있는 주소 (프로그램의 자체적 주소)

= (컴퓨터의 주소 : IP 주소), 프로그램의 주소: 포트 번호

 

FTP서버가 포트 9000을 사용하면 채팅 서버는 포트 9001을 사용함으로 써 프로세스를 구분한다. 이처럼 동시에 수행되는 작업에 대해 주소가 겹치지 않게 하려고 사용한다

 TCP/IP 의 상위 프로토콜을 사용하는 응용프로그램 (port 0~1023번) : 인터넷번호 할당 허가위원회에 의해 미리 지정

다른 응용프로그램 프로세스들은 접속할 때만다 포트번호가 새로 부여된다. 포트번호는 0부터 65535 까지 있다.

 

HTTP서비스를 위해서는 80번 포트가 지정된다.

 

 

 

 

캡처 필터 (port 80)를 걸어줌

 캡처 프로토콜의 형태가 TCP와 HTTP로만 나오는 것을 확인할 수 있다

 

 

 

 

 

▷ 화면 필터

 

캡처를 실행한 후에 나온 결과들에서 원하는 결과만 볼 수 있는 필터링

캡처 필터와 필터링을 거는 방법은 동일하다 (옵션 사용 or 직접 입력)

 

 

화면 필터로 http만 출력

 

 

공유하기

게시글 관리

구독하기유니유니