검색결과 리스트

Tools/Wireshark에 해당되는 글 2

[Wireshark] 필터링 방법 - Display Filter

Tools/Wireshark 2010. 7. 31. 16:27

display 필터는 캡쳐된 데이터에서 원하는 정보를 찾을 때 사용합니다.
display 필터의 검색 능력은 capture 필터 보다 더 뛰어납니다. 그리고 필터의 내용을 바꾸고 싶을 때 캡쳐 작업을 다시 시작하지 않아도 됩니다.
Syntax: Protocol .
String 1
 .
String 2
Comparison operator
Value
Logical Operations
Other expression
Example:
ftp
passive
ip
==
10.2.3.4
xor
icmp.type
Protocol:

OSI layer 2에서 layer 7 사이에 있는 매우 다양한 프로토콜을 사용 할 수 있습니다. 그것들은 메인 화면에 보이는 "Expression..." 버튼을 클릭하면 볼 수 있습니다.

wireshark filter expression

wireshark filter expression

아래에 보이는 그림에서 간단한 설명과 함께 지원 가능한 프로토콜들을 확인 할 수 있습니다:

wireshark supported protocols

wireshark supported protocols

Wireshark 웹사이트에서 프로토콜과 그것의 하위 카테고리에 대한 설명을 제공하고 있습니다.]

String1, String2 (선택 사항)

각 프로토콜의 하위 프로토콜 카테고리.
그것을 보기 위해서, 프로토콜을 선택한 뒤 "+" 표시를 클릭하세요.

wireshark filter expression

비교 연산자:

6개의 비교 연산자를 사용 할 수 있습니다:
영문 표기:  C언어 표기:  의미:
eq 
== 
같다
ne
!=
틀리다
gt
>
크다
lt
<
작다
ge
>=
크거나 같다
le
<=
작거나 같다
논리 표현 식:
영문 표기:  C언어 표기:  의미:
and
&&
논리곱
or
||
논리합
xor
^^
배타적 논리합
not
!
부정
프로그래머들이 잘 아는 "XOR"은 배타적 논리합 연산으로 사용됩니다. 두 가지 조건 사이에서 사용되었을 때, 두 가지 조건 중 오직 한가지만 만족했을 때 결과 화면에 보여집니다.
다음의 display 필터를 이용하여 예시를 보여드리겠습니다:
"tcp.dstport 80 xor tcp.dstport 1025"
목적지가 TCP 포트 80이거나 출발지가 TCP 포트 1025인 (두 가지 모두인 경우는 제외하고) 패킷이 결과로 화면에 나타납니다.


사용 예:

snmp || dns || icmp SNMP 혹은 DNS 혹은 ICMP 트래픽을 보여줍니다.
ip.addr == 10.1.1.1
출발지나 목적지의 IP 주소가 10.1.1.1인 패킷을 보여줍니다.
ip.src != 10.1.2.3 or ip.dst != 10.4.5.6
출발지의 IP 주소가 10.1.2.3이 아니거나 목적지의 IP 주소가 10.4.5.6이 아닌 패킷을 보여줍니다.
다른 말로 하자면, 화면에 보여지는 패킷은 다음과 같을 것입니다:
출발지 IP 주소 : 10.1.2.3이 아닌 모든 주소, 목적지 IP 주소 : 10.1.2.3이 아닌 모든 주소
그리고
출발지 IP 주소 : 모든 주소, 목적지 IP 주소 : 10.4.5.6이 아닌 모든 주소
ip.src != 10.1.2.3 and ip.dst != 10.4.5.6
출발지 IP 주소가 10.1.2.3이 아니면서, 동시에 목적지 IP 주소가 10.4.5.6이 아닌 패킷을 화면에 보여줍니다.
다른 말로 하자면, 화면에 보여지는 패킷은 다음과 같을 것입니다:
출발지 IP 주소 : 10.1.2.3이 아닌 모든 주소, 그리고 목적지 IP 주소 : 10.4.5.6이 아닌 모든 주소
tcp.port == 25 출발지와 목적지의 TCP 포트가 25인 패킷을 보여줍니다.
tcp.dstport == 25 목적지의 TCP 포트가 25인 패킷을 보여줍니다.
tcp.flags TCP 플래그를 가지고 있는 패킷을 보여줍니다.
tcp.flags.syn == 0x02 TCP SYN 플래그를 가지고 있는 패킷을 보여줍니다.
필터 구문에 문제가 없다면, 녹색으로 하이라이트 될 것이며, 잘못됐다면 붉은색으로 하이라이트 될 것입니다.
wireshark display filter example 올바른 구문
wireshark display filter example 잘못된 구문
display 필터에 대한 추가 정보는 Wireshark official websiteWiki Wireshark website에서 찾을 수 있습니다.

추가 ) http.request.method == "POST" 는 Http 중에 request method 가 POST 인 경우만 필터링을 해준다.

 출처 : http://openmaniak.com/kr/wireshark_filters.php#display

저작자표시 비영리 변경금지

'Tools > Wireshark' 카테고리의 다른 글

[Wireshark] 필터링 방법 - Capture Filter  (0) 2010.07.31

설정

트랙백

댓글

[Wireshark] 필터링 방법 - Capture Filter

Tools/Wireshark 2010. 7. 31. 16:24

패킷을 캡쳐하는 툴인 Wireshark 에서 필수적으로 사용해야하는 필터링 방법에 대해서 알아보도록 하겠다.
 


먼저, 필터링을 하기 위해서는 좌측과 같이 Capture > Options 를 선택한다.










아래와 같이 Capture Filter 라는 란이 있는데 여기에 필터링 문법을 쓰면, 패킷 캡쳐를 시작하면서 필터링 규칙에 따라 캡쳐를 해서 보여준다. 



 

그리고, 프로그램의 메인 화면을 보면, 캡쳐한 패킷 위에 존재하는 Filter 라는 란이 있다. 여기는 패킷 캡쳐 할 때, 필터링을 하는 것이 아니라 이미 캡쳐한 패킷에서 필터를 해서 원하는 항목만 걸러서 보여주는 것이다. 즉, 이미 캡쳐한 패킷에서 검색하는 기능이라 봐도 무난 할 것이다. 

 
 여기서의 문법은 패킷 캡쳐 당시의 필터링 문법과 다른데 Expression 을 누르면 다양한 문법을 선택해서 검색해 볼 수 있다. 

먼저, 패킷 캡쳐 필터링 문법 부터 보도록 하겠다.
 

 Syntax Protocol  Direction  Host(s)  Value Logical Operations Other expression
 Example  tcp dst 128.11.33.4 80 and  tcp dst ip port 

 Protocol:
사용 가능한 값: ether, fddi, ip, arp, rarp, decnet, lat, sca, moprc, mopdl, tcp and udp. 프로토콜을 지정하지 않으면 모든 프로토콜을 사용합니다.

 Direction:
사용 가능한 값: src, dst, src and dst, src or dst
출발지나 목적지를 지정하지 않으면 "src or dst" 키워드가 사용됩니다.
예를 들어, "host 10.2.2.2"은 "src or dst host 10.2.2.2"과 동일합니다.

Host(s):
사용 가능한 값: net, port, host, portrange.
호스트를 지정하지 않으면 "host" 키워드가 사용됩니다.
예를 들어, "src 10.1.1.1"은 "src host 10.1.1.1"과 같은 의미입니다.

Logical Operations:
사용 가능한 값: not, and, or.
부정 연산("not")이 가장 높은 우선순위를 갖습니다. 논리합("or")과 논리곱("and")는 같은 우선순위를 가지며 왼쪽에서 오른쪽으로 처리됩니다.
예를 들어,
"not tcp port 3128 and tcp port 23"은 "(not tcp port 3128) and tcp port 23"과 동일하게 작용합니다.
"not tcp port 3128 and tcp port 23" 은 "not (tcp port 3128 and tcp port 23)"과는 동일하지 않습니다.

사용 예

tcp dst port 3128
: 목적지가 TCP 포트 3128인 패킷을 보여줍니다.
ip src host 10.1.1.1
: 출발지 IP 주소가 10.1.1.1인 패킷을 보여줍니다.
host 10.1.1.1
: 출발지와 목적지 IP 주소가 10.1.1.1인 패킷을 보여줍니다.
src portrange 2000-2500
: 출발지의 UDP, TCP 포트가 2000-2500 사이인 패킷을 보여줍니다.
not icmp
: icmp 패킷을 제외한 모든 패킷을 보여줍니다. (icmp는 보통 ping 프로그램에서 사용합니다.)
src host 10.7.2.12 and not dst net 10.200.0.0/16
: 출발지 IP 주소가 10.7.2.12이면서, 목적지 IP 네트워크가 10.200.0.0/16이 아닌 패킷을 보여줍니다.
(src host 10.4.1.12 or src net 10.6.0.0/16) and tcp dst portrange 200-10000 and dst net 10.0.0.0/8
출발지 IP 주소가 10.4.1.12이거나, 출발지 네트워크가 10.6.0.0/16인 패킷중에서 목적지 TCP 포트 범위가 200-10000이면서, 목적지 IP 네트워크가 10.0.0.0/8인 패킷을 보여줍니다.


참고:

"\" 기호는 키워드 자체가 값을 나타낼 때 사용합니다.
"ether proto \ip"( \ip는 "ip"과 동일합니다.)
이것은 IP 프로토콜을 타켓으로 하게 됩니다.

"ip proto \icmp"(\icmp는 "icmp"과 동일합니다.)
이것은 일반적으로 ping 유틸리티에서 사용되는 icmp 패킷을 타켓으로 하게 됩니다.

"multicast"와 "broadcast" 키워드는 "ip" 나 "ether" 다음에 사용할 수 있습니다.
"no broadcast"는 broadcast 요청을 제외하고 싶을 때 유용하게 사용할 수 있습니다.

 출처 : http://openmaniak.com/kr/wireshark_filters.php#display

저작자표시 비영리 변경금지

'Tools > Wireshark' 카테고리의 다른 글

[Wireshark] 필터링 방법 - Display Filter  (0) 2010.07.31

설정

트랙백

댓글

1
지역로그 : 태그 : 미디어로그 : 방명록 : 관리자 : 글쓰기
Jorten's Blog is powered by Daum & Tattertools / Designed by Tistory

티스토리툴바