와이어샤크 - 필터 살펴 보기

 

 

GOAL

이번강의 에서는 필터를 더자세히 살펴보고 기본적인 필터식을 설명해보도록 하겠습니다.

Prologue

지난번 강의에서 간단하게 필터를 설정하는 법을 알아보았습니다.

이번강의에서는 필터를 자세하게 살펴보고 기본적인 필터식을 설명해보겠습니다.

Wireshark

일단 캡쳐필터의 목적 부터 알아보도록 하겠습니다.

캡쳐필터는 추적파일을 저장할때 패킷을 캡쳐하는 동안 /temp나 다른 디렉토리에 저장되지 않게 제한한다.

또 동작 중인 네트워크나 특정 유형의 트래픽에 초점을 맞춰 캡쳐하는 패킷을 제한 하는데 매우 유용하게쓰인다.

이것이 캡쳐필터의 기본적인 목적이라고 할수 있습니다.

그러면 이제 와이어샤크 기본 캡쳐필터에 대해 알아보도록 하겠습니다.

기본 캡쳐 필터는 다음 표와 같습니다.

캡쳐 필터 이름	캡쳐 필터 구문
Ethernet address 00:00:00:00:00:00	ether host 00:00:00:00:00:00
Ethernet type 0x0806	ether proto 0x0806
No Broadcast and no Multicast	not broadcast and not multicast
No ARP	not arp
IP only	ip
IP address 192.168.0.1	host 192.168.0.1
IPX only	ipx
TCP only	tcp
UDP only	udp
TCP or UDP port 80	port 80
HTTP TCP port	tcp port http
No ARP and no DNS	not arp and port not 53
Non-HTTP and non-SMTP to/from www.wireshark.org	not port 80 and not port 25 and host www.wireshark.org

 

위에 표를 보면 캡쳐필터식이 어떤식으로 생겼는지 알수 있을것이다. 

그럼이제 이 필터식에 대해서 더자세히 살펴보겠다.

캡쳐 필터는 식별자와 한정자로 구성되어 있다.

-식별자는 필터링을 하는요소이다. 80번 포트로부터 트래픽에 대한 캡쳐필터에서 80은 식별자이다. 식별자는 숫자나 이름이 될수 있다.

-한정자 캡쳐필터에는 다음과 같은 3가지 한정자가 사용된다. 

Type Dir Proto 이3가지 한정자에 대해서 설명해 보겠다.

 

*유형 한정자(Type): 식별자가 참조하는 이름이나 번호의 유형을 가리킨다. 80번포트로부터 트래픽에 대한 캡쳐 필터네에서 포트는 유형한정자나. 호스트,네트워크,포트 3가지는 유형 한정자이다.

 

*방향 한정자(Dir):방향 한정자는 관심있는 트래픽의 흐름을 표시하기 위해 사용한다. 일반적인 방향 한정자는 dst 

 와 src 이다.

 

*프로토콜 한정자(Proto):프로토콜 한정자는 TCP 와 UDP 같이 특별한 프로토콜에 캡쳐된 트래픽을 제한하기 위해 사용된다.

 

캡쳐필터의 구성요소를 살펴보았다. 와이어샤크의 캡쳐필터구문은 최대한 간단하게 표현되어있다.

만약에 TCP 프로토콜만 필터링 하고 싶다면 그 구문은 tcp이다.

일반적인 프로토콜 필터는 tcp udp ip arp icmp ip6이다.

 

지금 까지 필터식의 구성정도만은 살펴보았습니다. 다음강의에서는 특정 네트워크 트래픽을 캡쳐하는 캡쳐필터식을 알아보도록하겠습니다 .

'와이어 샤크 > 와이어 샤크 - 기초' 카테고리의 다른 글

와이어샤크 - 트래픽 컬러링  (0)	2011.12.24
와이어샤크 - 필터 살펴 보기 2  (0)	2011.12.23
와이어샤크 - 필터 살펴 보기  (0)	2011.12.23
와이어샤크 - 파일 추출  (2)	2011.12.23
와이어샤크 - 간단한 필터 설정  (4)	2011.12.23
와이어샤크 - 와이어샤크 살펴보기  (0)	2011.12.23