WireShark 분석에 필요한 필터링 문법.
-
Capture filter : 수집 자체를 조건에 맞는 패킷만
-
Display filter : 모두 다 받고, 출력만 조건에 맞는 것들을.
=> 상황에 맞게 사용하면 된다.
src : 출발 주소
dst : 목적지 주소
protocol 종류 : tcp/ip/imcp/ftp/snmp/dns .... (기본적으로 명칭 그대로 사용하면 된다.)
port : 포트 번호
ex) tcp.port, udp.port
contains : (포함하고 있다)의 의미.
ex) http contains "download", http contains "GET"
and : && (논리곱)
or : || (논리합)
xor : ^^ (배타적 논리합)
not : ! (부정)
| 영문 | 부호 |
|---|---|
| eq | == |
| ne | != |
| gt | > |
| lt | < |
| ge | >= |
| le | <= |
| and | && |
| or | || |
| xor | ^^ |
| not | ! |
예시
| Filter | Meaning |
|---|---|
| host ip주소 | 해당 ip주소에 [송신/수신]되는 패킷을 출력한다. |
| net ip주소 | |
| port not 20 and not 25 | 포트에 해당하는 서비스를 제외한 패킷을 출력한다. |
| protocol portrange A~B | 해당 서비스에 해당하고, A~B 포트 범위에 해당하는, 패킷을 출력한다 |
| ip.src == 124.137.0.0/16 | 출발 주소가 ip에 해당하는 (예시의 경우, 124.137로 시작하는) 패킷을 출력한다. |
| tcp.port == 80 | tcp의 port가 80인 것들을 출력 |
| http.request.method == "GET" | http 중 GET 요청인 패킷을 출력한다. |
| ip.src = 192.168.0.0/16 && tcp.port == 80 | 192.168로 시작하는 ip주소에서 출발하여, tcp 중 포트가 http인 패킷 출력 |
| http contains "GET" | http 중 GET을 포함하는 패킷 출력 |
| tcp.dstport == 25 | 목적지의 tcp포트가 25번인 패킷 출력 |
| tcp.flags.syn == 1 | tcp syn 플래그가 활성화 된 패킷을 출력 |
| http.request.uri matches "~~" | ~~와 url이 일치하는 패킷 출력 (contains): 포함 |
| eth.addr == ff:ff:ff:ff:ff:ff | mac 주소 broadcast인 패킷 출력 |
| dns.qry.name == www.naver.com | dns query 중 host가 www.naver.com인 패킷 출력 |
Filtering이 잘 적용되었다면 초록, 아니라면 빨강.
참조/출처
https://openmaniak.com/kr/wireshark_filters.
https://www.youtube.com/watch?v=gqYRsuu__9Q&list=PL1jdJcP6uQttMt4D7dzNmab4FSflAzySp&index=6
https://jakejoo.tistory.com/entry/%ED%95%84%ED%84%B0-%EB%AC%B8%EB%B2%95-%EC%82%AC%EC%9A%A9
https://packetlife.net/blog/2008/oct/18/cheat-sheets-tcpdump-and-wireshark/
Forensic/Security/IT