와이어샤크에서 필터가 아주 중요한데요, 그 이유는 인터넷 페이지를 하나만 검색해도 패킷이 수십, 수백, 수천 개가 송,수신되는데 그 중에서 제가 보고싶은 거만 찾기 위해선 필터를 꼭 사용해야 합니다. 와이어샤크에서 필터의 종류는 크게 캡처 필터와, 디스플레이 필터 사용하며, 캡처필터는 네트워크 트래픽을 캡처할 때 조건을 설정하고, 디스플레이 필터는 이미 캡처된 데이터에서 특정 조건에 맞는 트래픽만 조회할 때 사용합니다.
1. 캡처 필터 사용법
캡처 필터는 캡처를 시작할 떄부터 필터링을 이용하여 특정 포트나 프로토콜의 패킷을 필터링 하고 싶을 때 캡처 필터 기능을 이용합니다. 특정 필터 외에 다른 패킷은 캡처가 불가능하기 부분이 단점입니다.
사용 예시
1. 캡처 옵션 선택
캡처 필터는 위와 같이 캡처할 수 있으며, 캡처 필터를 입력하는 곳 왼쪽에 초록색 마크를 클릭하시면, 자주 사용하는 캡처 필터를 확인할 수 있습니다. 자주 사용하는 필터를 보면 tcp port가 아닌 port 80 이런식으로 캡처하시면 80 포트로만 들어오는 캡처를 확인할 수 있습니다. 그리고 포트와 and, &&같은 기호 및 명령어?를 사용하면 입력한 port와 host를 동시에 사용하는 부분을 캡처할 수 있습니다. 또 src, dst등 시작지, 목적지 등을 구분할 수 있습니다.
예시 :
1. tcp 포트 80 확인할 때
> tcp port 80
2. 포트 80을 확인할 때
> port 80 (UDP, TCP 등 프로토콜 관계 없이 포트가 80이면 모두 확인)
3. IP 192.168.251.91를 확인할 때
> host 192.168.251.91
4. tcp 80 포트와 IP 192.168.251.91 을 확인할 때
> tcp port 80 and host 192.168.251.91
> tcp port 80 && host 192.168.251.91
5. 출발지 IP가 192.168.251.91 확인할 때
> src host 192.168.251.91
6. 목적지 IP가 192.168.251.91 확인할 때
> dst host 192.168.251.91
7. IP 192.168.251.91을 제외한 IP를 확인할 때
> not host 192.168.251.91
> ! host 192.168.251.91
예시보다 더 많은 사용법이 있지만, 7개 정도의 예시만 작성하였습니다. 와이어샤크를 이용하여 캡처필터 해보시면 될 것 같습니다.
2. 디스플레이 필터 사용법
디스플레이 필터는 실시간 트래픽을 확인할 때 유용하고, 시간 필터링이나 문자열등을 포함하는 복잡하고 고급 기능도 사용 가능하고, 실시간 캡처는 적용이 안되고, 고급 기능등을 사용하기 위해선 문법을 외워야하고, 실제 캡처 데이터는 변경되지 않고, 화면에 보이는 패킷만 제한하는 필터입니다.
디스플레이 필터는 위와 같이 필터할 수 있으며, 출발지IP만, 목적지IP만, 출발지/목적지IP 모두, 포트만, 메서드, URI, flag 등필터할 수 있는 부분이 워낙 많기 때문에 사용법이 어렵긴 하지만, ip와 포트 검색하는 법으로 시작해서 차근차근 알아나가도 괜찮을 것 같습니다.
예시 :
1. 출발지,목적지 모두 IP 확인
> ip.addr == 192.168.251.91
2. 출발지 IP 확인
> ip.src == 192.168.251.91
3. 출발지IP와 목적지IP가 다른 IP를 확인할 때
> ip.src == 192.168.251.91 and ip.dst == 192.168.15.2
4. IP를 프리픽스로 확인할 때
> ip.addr == 192.168.0.0/16 (16비트 대역으로 필터)
5. tcp 80 포트 확인할 때
> tcp.port == 80
6. tcp 80 또는 udp 80을 조회할 때
> tcp.port == 80 || udp.port == 80
7. 메서드를 조회할 때
> http.request.method == "GET"
> http.request.method == "POST"
8. ro 문자열 포함 검색
> http.request.uri contains "ro"
9. 192.168로 시작하는 모든 IP
> ip.addr contains "192.168"
10. 여러 포트 조건 설정
> tcp.port in {80,443,8080}
예시보다 더 많은 사용법이 있지만, 10개 정도의 예시만 작성하였습니다. 고급 기능이라고 할 만한 건 문자열 포함 검색?과 메서드 검색 정도를 제외하고는 일반적인 것들을 예시로 들었습니다. 또, 시간 필터링, flag 필터 등 다양한 방법으로 필터를 할 수 있습니다.
3. 캡처 필터, 디스플레이 필터 비교
| 특징 | 디스플레이 필터 | 캡처 필터 |
| 작동 시점 | 캡처 후 분석 단계 | 캡처 시작 시점 |
| 적용 범위 | 캡처된 모든 패킷에서 필터링 | 지정한 조건에 맞는 트래픽만 캡처 |
| 유연성 | 더 많은 프로토콜과 필드를 지원 | 캡처 가능한 조건만 제한적으로 사용 가능 |
| 성능 | 많은 데이터셋에서 필터링 시 속도 저하 가능 | 초기 캡처량을 줄여 성능에 유 |
최대한 많은 사용법과 예시를 작성하고 캡처를 한다고 노력은 하였는데, 조금 부족할 수도 있습니다. ㅠㅠㅠ
'정보보안 > 네트워크 기초' 카테고리의 다른 글
| Windows와 Unix/Linux에서 ping을 이용한 IP 대역 스캔: 범위 지정 방법 정리(prefix) (2) | 2024.10.31 |
|---|---|
| 와이어샤크(wireshark)를 통한 패킷 분석 (IP Spoofing, SYN,ACK Flooding, Half-Open Scan 첨부) (0) | 2024.10.04 |
| SNI (Server Name Indication) 필드 (0) | 2024.08.05 |
| IP(Internet Protocol) 및 게이트웨이(Gateway, GW) (0) | 2024.07.31 |
| NAT 및 포트 포워딩(Port Forwarding) (0) | 2024.07.29 |