맨위로

GOAL

캡쳐 필터를 조합하기 위한 연산자 와 바이트 값을 찾기 위한 캡쳐 필터 생성에 대해서 알아보겠다.

Prologue
지난번 강의에서 간단하게 필터식에 구성에대해서 살펴보았습니다.
이번강의에서는 필터식과 연산자에 대해서 알아보도록 하겠습니다.




Wireshark

이번강의에서 캡쳐 필터 구문을 적고 그에대한 설명을 하려고 했는데
이필터 구문들은 후에 다시 알아보는걸로 하겠다.
이번강의에서는 연산자에 대해서 간단하게 살펴보도록하겠다.

캡쳐필터에 사용되는 연산자로는 다음과 같이 세 개의 주연산자가있다.

부정 (! 또는 not)
연결 (and)
교대 (or)


구체적이고 여러조건은 만족시키는 필터식을 만들기 위해서는 위의 연산자들을 사용할 수 있다.

예를 들어서 host 192.168.0.1 과 tcp dst 80은 포트 80으로 전송되는 모든 트래픽과 192.168.0.1로 송수신되는 모든 트래픽을 캡쳐할 것이다. 만약 이두개모두를 만족시키는 패킷을 찾기를 원한다면 어떻게 해야될까?
이럴때 and 연산자를 이용해 두조건을 모두 만족시키는 필터식을 만들수 있다.
여기서 or 연산자를 사용하게 된다면 해석은 완전하게 달러지게 된다. or 연산자를 사용하면 두가지의 조건중
하나라도 만족시키는 패킷은 모두 보여주게된다 목적지 포트와 관계 없이 192.168.0.1로 송수신되는 트래픽과
주소와 관계없이 포트가 80으로 전송되는 모든 트래픽이 캡쳐 될것이다.

와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크

 
-바이트 값을 찾기 위한 캡쳐 필터 생성
어떤 경우에는 패킷 속의 특정 오프셋에 있는 특정 값을 찾기 위해 캡쳐 필터를 생성할 필요가 있을수있다.
바이트 오프셋 캡쳐 필터를 위한 구문은 proto[expr:size]이며 proto는 프로토콜(tcp,udp등)중하나가된다.
expr은 오프셋을 식별하며 size는 사용자가 관심이 있는 바이트 단위 이다.

예를 들어 tcp [2:2] > 100 and tcp [2:2]< 150 은 100과 150 사이의 포트에 대한 트래픽 만을 캡쳐한다. 목적지 포트 필드는 tcp 헤더의 시작으로부터 오프셋 2에 위치해 있고 필드는 2바이트의 길이를 갖는 tcp [2:2]이다.

지금까지 캡쳐 필터에대해서 나름 배운내용을 설명해 보았지만 읽는 분들이 이해가 되실지는 잘모르겠다.
다음강의에서는 와이어샤크 트래픽 컬러링에 대해서 알아보겠습니다.




Posted by STIH

댓글을 달아 주세요