글
[Wireshark] 필터링 방법 - Display Filter
Tools/Wireshark
2010. 7. 31. 16:27
display 필터는 캡쳐된 데이터에서 원하는 정보를 찾을 때 사용합니다.
display 필터의 검색 능력은 capture 필터 보다 더 뛰어납니다. 그리고 필터의 내용을 바꾸고 싶을 때 캡쳐 작업을 다시 시작하지 않아도 됩니다.
| Syntax: | Protocol | . |
|
. |
|
|
|
|
| |||||
|
|
|
|
|
|
|
|
|
Protocol:OSI layer 2에서 layer 7 사이에 있는 매우 다양한 프로토콜을 사용 할 수 있습니다. 그것들은 메인 화면에 보이는 "Expression..." 버튼을 클릭하면 볼 수 있습니다.
아래에 보이는 그림에서 간단한 설명과 함께 지원 가능한 프로토콜들을 확인 할 수 있습니다:
Wireshark 웹사이트에서 프로토콜과 그것의 하위 카테고리에 대한 설명을 제공하고 있습니다.]
String1, String2 (선택 사항)각 프로토콜의 하위 프로토콜 카테고리.
그것을 보기 위해서, 프로토콜을 선택한 뒤 "+" 표시를 클릭하세요.
비교 연산자: 6개의 비교 연산자를 사용 할 수 있습니다:
| 영문 표기: | C언어 표기: | 의미: |
|
|
|
같다 |
|
|
|
틀리다 |
|
|
|
크다 |
|
|
|
작다 |
|
|
|
크거나 같다 |
|
|
|
작거나 같다 |
논리 표현 식:| 영문 표기: | C언어 표기: | 의미: |
|
|
|
논리곱 |
|
|
|
논리합 |
|
|
|
배타적 논리합 |
|
|
|
부정 |
다음의 display 필터를 이용하여 예시를 보여드리겠습니다:
"tcp.dstport 80 xor tcp.dstport 1025"
목적지가 TCP 포트 80이거나 출발지가 TCP 포트 1025인 (두 가지 모두인 경우는 제외하고) 패킷이 결과로 화면에 나타납니다.
사용 예:
| snmp || dns || icmp | SNMP 혹은 DNS 혹은 ICMP 트래픽을 보여줍니다. |
| ip.addr == 10.1.1.1 |
| ip.src != 10.1.2.3 or ip.dst != 10.4.5.6 |
다른 말로 하자면, 화면에 보여지는 패킷은 다음과 같을 것입니다:
출발지 IP 주소 : 10.1.2.3이 아닌 모든 주소, 목적지 IP 주소 : 10.1.2.3이 아닌 모든 주소
그리고
출발지 IP 주소 : 모든 주소, 목적지 IP 주소 : 10.4.5.6이 아닌 모든 주소
| ip.src != 10.1.2.3 and ip.dst != 10.4.5.6 |
다른 말로 하자면, 화면에 보여지는 패킷은 다음과 같을 것입니다:
출발지 IP 주소 : 10.1.2.3이 아닌 모든 주소, 그리고 목적지 IP 주소 : 10.4.5.6이 아닌 모든 주소
| tcp.port == 25 | 출발지와 목적지의 TCP 포트가 25인 패킷을 보여줍니다. |
| tcp.dstport == 25 | 목적지의 TCP 포트가 25인 패킷을 보여줍니다. |
| tcp.flags | TCP 플래그를 가지고 있는 패킷을 보여줍니다. |
| tcp.flags.syn == 0x02 | TCP SYN 플래그를 가지고 있는 패킷을 보여줍니다. |
 |
올바른 구문 |
 |
잘못된 구문 |
추가 ) http.request.method == "POST" 는 Http 중에 request method 가 POST 인 경우만 필터링을 해준다.
출처 : http://openmaniak.com/kr/wireshark_filters.php#display
'Tools > Wireshark' 카테고리의 다른 글
| [Wireshark] 필터링 방법 - Capture Filter (0) | 2010.07.31 |
|---|
