Wireshark - 패킷 캡쳐하기

1.  패킷 필터링하기

와이어샤크에서 패킷을 캡처하기에 앞서 패킷 필터링 기능을 알고 갈 필요가 있습니다. 다량의 패킷을 캡처할 경우에는 미리 필터를 적용하고 캡처하는 걸 권장합니다. 화면 필터링은 캡처된 패킷을 별도로 조회할 때 사용합니다.

 

1) Capture → Options 클릭

캡쳐 필터 적용하기1

 

2) 원하는 네트워크 선택 → 하단에 캡처필터에 키워드 입력 후 Start

인터페이스에서 대상 네트워크를 선택합니다.

캡쳐 필터 적용하기2

 

하단에 패킷 필터항목을 보면 아이콘이 있는데 클릭 시 예시 필터를 사용할 수 있습니다. 정상적으로 입력했다면 초록색으로 나타나고, 아닐 경우 빨간색으로 표시됩니다. 다른 조건으로 검색을 원한다면 와이어샤크 위키페이지 에서 관련 문법을 참고하시기 바랍니다. Compile BPFs는 해당 문법으로 필터를 적용하고 있다는 의미입니다.

캡쳐 필터 정상입력 시

 

캡쳐 필터 잘못 입력 시

 

port 80으로 캡쳐한 예시

 

 

2.  화면 필터링하기

패킷 필터의 경우 사전에 설정했다면 화면 필터는 캡처된 패킷들을 필터링하는 기능입니다.

 

상단에 Apply a display filter 항목에 원하는 필터링을 입력하면 됩니다. 이전 패킷 필터와 동일하게 정상적으로 입력했다면 초록색으로 나타나고, 아닐 경우 빨간색으로 표시됩니다.

Apply a display filter

 

 

화면 필터에서는 연산자와 필터 구문을 활용하여 여러 조건에서 필터링이 가능하며 사용되는 주요 문법은 다음과 같습니다.

 

1) 연산자

   -  ==  or   eq    : 같음

   -  !=  or   ne    : 다름

   -  >  or   gt    : 좌항이 더 큼

   -  <  or   lt    : 좌항이 더 작음

   -  >=  or   ge    : 좌항이 크거나 같음

   -  !   : NOT

   -  &&  : AND

   -  ||  : OR

 

2) 주요 필터 구문

   -  tcp  : TCP 프로토콜 필터링

   -  udp  : UDP 프로토콜 필터링

   -  tcp.port == xx  : TCP 출발지 or 목적지 포트 필터링

   -  tcp.srcport == xx  : TCP 출발지 포트 필터링

   -  tcp.dstport == xx  : TCP 목적지 포트 필터링

   -  eth.addr == xx  : MAC 출발지 or 목적지 주소로 필터링

   -  eth.srcr == xx  : MAC 출발지 주소로 필터링

   -  eth.dst == xx  : MAC 목적지 주소로 필터링

   -  ip.addr == x.x.x.x : 출발지 or 목적지 IP로 필터링

   -  ip.src == x.x.x.x : 출발지 IP로 필터링

   -  ip.dst == x.x.x.x : 목적지 IP로 필터링

 

참고로 직접 입력하여 필터 적용도 가능하지만, 하단에 패킷 리스트를 활용하여 바로 필터를 추가할 수 있습니다.

패킷 리스트를 활용하여 필터 추가

 

필터 적용 후