GOAL
이번강의 에서는 필터를 더자세히 살펴보고 기본적인 필터식을 설명해보도록 하겠습니다.
이번강의에서는 필터를 자세하게 살펴보고 기본적인 필터식을 설명해보겠습니다.
Wireshark
일단 캡쳐필터의 목적 부터 알아보도록 하겠습니다.
캡쳐필터는 추적파일을 저장할때 패킷을 캡쳐하는 동안 /temp나 다른 디렉토리에 저장되지 않게 제한한다.
또 동작 중인 네트워크나 특정 유형의 트래픽에 초점을 맞춰 캡쳐하는 패킷을 제한 하는데 매우 유용하게쓰인다.
이것이 캡쳐필터의 기본적인 목적이라고 할수 있습니다.
그러면 이제 와이어샤크 기본 캡쳐필터에 대해 알아보도록 하겠습니다.
기본 캡쳐 필터는 다음 표와 같습니다.
캡쳐 필터 이름 |
캡쳐 필터 구문 |
Ethernet address 00:00:00:00:00:00 |
ether host 00:00:00:00:00:00 |
Ethernet type 0x0806 |
ether proto 0x0806 |
No Broadcast and no Multicast |
not broadcast and not multicast |
No ARP |
not arp |
IP only |
ip |
IP address 192.168.0.1 |
host 192.168.0.1 |
IPX only |
ipx |
TCP only |
tcp |
UDP only |
udp |
TCP or UDP port 80 |
port 80 |
HTTP TCP port |
tcp port http |
No ARP and no DNS |
not arp and port not 53 |
Non-HTTP and non-SMTP to/from www.wireshark.org |
not port 80 and not port 25 and host www.wireshark.org |
위에 표를 보면 캡쳐필터식이 어떤식으로 생겼는지 알수 있을것이다.
그럼이제 이 필터식에 대해서 더자세히 살펴보겠다.
캡쳐 필터는 식별자와 한정자로 구성되어 있다.
-식별자는 필터링을 하는요소이다. 80번 포트로부터 트래픽에 대한 캡쳐필터에서 80은 식별자이다. 식별자는 숫자나 이름이 될수 있다.
-한정자 캡쳐필터에는 다음과 같은 3가지 한정자가 사용된다.
Type Dir Proto 이3가지 한정자에 대해서 설명해 보겠다.
*유형 한정자(Type): 식별자가 참조하는 이름이나 번호의 유형을 가리킨다. 80번포트로부터 트래픽에 대한 캡쳐 필터네에서 포트는 유형한정자나. 호스트,네트워크,포트 3가지는 유형 한정자이다.
*방향 한정자(Dir):방향 한정자는 관심있는 트래픽의 흐름을 표시하기 위해 사용한다. 일반적인 방향 한정자는 dst
'와이어 샤크 > 와이어 샤크 - 기초' 카테고리의 다른 글
와이어샤크 - 트래픽 컬러링 (0) | 2011.12.24 |
---|---|
와이어샤크 - 필터 살펴 보기 2 (0) | 2011.12.23 |
와이어샤크 - 필터 살펴 보기 (0) | 2011.12.23 |
와이어샤크 - 파일 추출 (2) | 2011.12.23 |
와이어샤크 - 간단한 필터 설정 (4) | 2011.12.23 |
와이어샤크 - 와이어샤크 살펴보기 (0) | 2011.12.23 |
댓글을 달아 주세요