깜장 블로그

패킷을 캡쳐하는 툴인 Wireshark 에서 필수적으로 사용해야하는 필터링 방법에 대해서 알아보도록 하겠다.
 

그리고, 프로그램의 메인 화면을 보면, 캡쳐한 패킷 위에 존재하는 Filter 라는 란이 있다. 여기는 패킷 캡쳐 할 때, 필터링을 하는 것이 아니라 이미 캡쳐한 패킷에서 필터를 해서 원하는 항목만 걸러서 보여주는 것이다. 즉, 이미 캡쳐한 패킷에서 검색하는 기능이라 봐도 무난 할 것이다. 

 
 여기서의 문법은 패킷 캡쳐 당시의 필터링 문법과 다른데 Expression 을 누르면 다양한 문법을 선택해서 검색해 볼 수 있다. 

먼저, 패킷 캡쳐 필터링 문법 부터 보도록 하겠다.
 

 Protocol:
사용 가능한 값: ether, fddi, ip, arp, rarp, decnet, lat, sca, moprc, mopdl, tcp and udp. 프로토콜을 지정하지 않으면 모든 프로토콜을 사용합니다.

 Direction:
사용 가능한 값: src, dst, src and dst, src or dst
출발지나 목적지를 지정하지 않으면 "src or dst" 키워드가 사용됩니다.

Host(s):
사용 가능한 값: net, port, host, portrange.
호스트를 지정하지 않으면 "host" 키워드가 사용됩니다.
예를 들어, "src 10.1.1.1"은 "src host 10.1.1.1"과 같은 의미입니다.

Logical Operations:
사용 가능한 값: not, and, or.
부정 연산("not")이 가장 높은 우선순위를 갖습니다. 논리합("or")과 논리곱("and")는 같은 우선순위를 가지며 왼쪽에서 오른쪽으로 처리됩니다.
예를 들어,
"not tcp port 3128 and tcp port 23"은 "(not tcp port 3128) and tcp port 23"과 동일하게 작용합니다.
"not tcp port 3128 and tcp port 23" 은 "not (tcp port 3128 and tcp port 23)"과는 동일하지 않습니다.

사용 예

tcp dst port 3128

: 목적지가 TCP 포트 3128인 패킷을 보여줍니다.

ip src host 10.1.1.1

: 출발지 IP 주소가 10.1.1.1인 패킷을 보여줍니다.

host 10.1.1.1

: 출발지와 목적지 IP 주소가 10.1.1.1인 패킷을 보여줍니다.

src portrange 2000-2500

: 출발지의 UDP, TCP 포트가 2000-2500 사이인 패킷을 보여줍니다.

not icmp

: icmp 패킷을 제외한 모든 패킷을 보여줍니다. (icmp는 보통 ping 프로그램에서 사용합니다.)

src host 10.7.2.12 and not dst net 10.200.0.0/16

: 출발지 IP 주소가 10.7.2.12이면서, 목적지 IP 네트워크가 10.200.0.0/16이 아닌 패킷을 보여줍니다.

(src host 10.4.1.12 or src net 10.6.0.0/16) and tcp dst portrange 200-10000 and dst net 10.0.0.0/8

출발지 IP 주소가 10.4.1.12이거나, 출발지 네트워크가 10.6.0.0/16인 패킷중에서 목적지 TCP 포트 범위가 200-10000이면서, 목적지 IP 네트워크가 10.0.0.0/8인 패킷을 보여줍니다.

참고:

"\" 기호는 키워드 자체가 값을 나타낼 때 사용합니다.
"ether proto \ip"( \ip는 "ip"과 동일합니다.)
이것은 IP 프로토콜을 타켓으로 하게 됩니다.

"ip proto \icmp"(\icmp는 "icmp"과 동일합니다.)
이것은 일반적으로 ping 유틸리티에서 사용되는 icmp 패킷을 타켓으로 하게 됩니다.

"multicast"와 "broadcast" 키워드는 "ip" 나 "ether" 다음에 사용할 수 있습니다.
"no broadcast"는 broadcast 요청을 제외하고 싶을 때 유용하게 사용할 수 있습니다.

 출처 : http://openmaniak.com/kr/wireshark_filters.php#display