old/Network

[정리] 와이어샤크 필터링

2014. 11. 6. 00:01
반응형


[그림 1] 네트워크 통신 요약


  침해사고 대응, 악성코드 분석, 네트워크 통신 분석 등 거의 모든 부분에서 활용되고 있는 와이어샤크의 필터링 기능을 살펴보고자 한다. 캡쳐환경에 따라 단 몇초에서 몇분이면 수 십 ~ 수 백mb의 캡쳐파일이 생성이 되는데 이럴경우 패킷분석에 큰 지장을 초래한다. 이를위해 와이어샤크에서는 Capture/Display 필터 기능을 제공하여 보다 효율적인 분석환경을 제공하고 있다. 


Capture Filter : 캡쳐 시작 전에 설정하며 특정 패킷만 캡쳐하는 필터링

Display  Filter : 캡쳐 이후에 설정하며 특정 패킷만 보고자하는 필터링


  Capture Filter는 Capture - Options - Capture Filter에서 설정이 가능하다.


[그림 2] Capture Filter


이미 설정된 필터링을 사용하거나 New 버튼을 이용해 새로운 필터링을 만들 수 있다. 예를 들어 tcp port 80 and not arp와 같이 설정한 경우 아래 그림과 같이 불필요한 패킷을 제외하고 캡쳐된 모습을 확인 할 수 있다.


[그림 3] Capture Filter 적용


  Display  Filter는 이미 캡쳐된 pcap 파일을 확인할 때 원하는 패킷만 볼 수 있도록 하는 필터링이다. 간단한 예로 특정 프로토콜만 확인 하는 경우 http 또는 arp, udp 등을 사용하며 IP와 MAC 주소의 필터링은 물론 데이터의 문자열, window 크기 등 원하는 모든것을 필터링할 수 있다. 또, 필터링 설정 시 "."으로 문법을 확인하며 설정 할 수 있으며 패킷의 데이터에서 원하는 부분을 오른쪽 클릭해 Apply as Filter로 손쉽게 적용이 가능하기 때문에 잘 익혀둔다면 효율적으로 분석을 진행 할 수 있다. 


[그림 4] Display  Filter 적용


  자주 사용하게 되고 유용한 Display  Filter 몇 가지를 소개한다.


ip.addr == ( )

ip.src == ( )

ip.dst == ( )

eth == ( )

eth.src == ( )

etc.dst == ( )

tcp.port == ( )

tcp.dstport == ( )

tcp.flags == ( )

tcp contains ( )

http contains ( )

udp contains ()

tcp.flags.reset == 1

http.host contains " "

http and data-text-lines contains " "

http.request.full_uri contains " "

http.request.method == GET or POST


참고 사이트

http://wiki.wireshark.org/DisplayFilters

반응형
저작자표시 비영리 변경금지

'old > Network' 카테고리의 다른 글

[자료] Nmap 자세한 정리  (0) 2014.12.16
[자료] tcpdump 교육 자료  (0) 2014.12.15
[자료] How to Hack Your Own Network and Beef Up Its Security with Kali Linux  (0) 2014.10.26
[자료] SSL POODLE  (0) 2014.10.16
[자료] Analyzing Network Traffic With Basic Linux Tools  (0) 2014.08.07
'old/Network' 카테고리의 다른 글
  • [자료] Nmap 자세한 정리
  • [자료] tcpdump 교육 자료
  • [자료] How to Hack Your Own Network and Beef Up Its Security with Kali Linux
  • [자료] SSL POODLE
MR. ZERO
MR. ZERO
DevOps Security Specialist를 목표하는 Security Compliance Engineer의 블로그
반응형
MR. ZERO
Security & DevOps
MR. ZERO
전체
오늘
어제
  • 전체보기 (453)
    • Kubernetes (59)
    • AWS (56)
    • Compliance (1)
    • etc (16)
    • Private (5)
      • 개인 (1)
      • MOVIE (4)
    • old (315)
      • News (8)
      • Web (28)
      • Server (35)
      • Python (6)
      • System (5)
      • Network (36)
      • Forensic (32)
      • Wargame (72)
      • Reversing (9)
      • Pentest (1)
      • 관리적 보안 (76)
hELLO · Designed By 정상우.
MR. ZERO
[정리] 와이어샤크 필터링
상단으로

티스토리툴바

단축키

내 블로그

내 블로그 - 관리자 홈 전환
Q
Q
새 글 쓰기
W
W

블로그 게시글

글 수정 (권한 있는 경우)
E
E
댓글 영역으로 이동
C
C

모든 영역

이 페이지의 URL 복사
S
S
맨 위로 이동
T
T
티스토리 홈 이동
H
H
단축키 안내
Shift + /
⇧ + /

* 단축키는 한글/영문 대소문자로 이용 가능하며, 티스토리 기본 도메인에서만 동작합니다.