디지털 포렌식 #14 (Wireshark)

0

디지털포렌식

목록 보기
81/115
post-custom-banner

WireShark 분석에 필요한 필터링 문법.

  • Capture filter : 수집 자체를 조건에 맞는 패킷만

  • Display filter : 모두 다 받고, 출력만 조건에 맞는 것들을.

=> 상황에 맞게 사용하면 된다.

src : 출발 주소
dst : 목적지 주소

protocol 종류 : tcp/ip/imcp/ftp/snmp/dns .... (기본적으로 명칭 그대로 사용하면 된다.)

port : 포트 번호

ex) tcp.port, udp.port

contains : (포함하고 있다)의 의미.
ex) http contains "download", http contains "GET"

and : && (논리곱)
or : || (논리합)
xor : ^^ (배타적 논리합)
not : ! (부정)

영문부호
eq==
ne!=
gt>
lt<
ge>=
le<=
and&&
or||
xor^^
not!

예시

FilterMeaning
host ip주소해당 ip주소에 [송신/수신]되는 패킷을 출력한다.
net ip주소
port not 20 and not 25포트에 해당하는 서비스를 제외한 패킷을 출력한다.
protocol portrange A~B해당 서비스에 해당하고, A~B 포트 범위에 해당하는, 패킷을 출력한다
ip.src == 124.137.0.0/16출발 주소가 ip에 해당하는 (예시의 경우, 124.137로 시작하는) 패킷을 출력한다.
tcp.port == 80tcp의 port가 80인 것들을 출력
http.request.method == "GET"http 중 GET 요청인 패킷을 출력한다.
ip.src = 192.168.0.0/16 && tcp.port == 80192.168로 시작하는 ip주소에서 출발하여, tcp 중 포트가 http인 패킷 출력
http contains "GET"http 중 GET을 포함하는 패킷 출력
tcp.dstport == 25목적지의 tcp포트가 25번인 패킷 출력
tcp.flags.syn == 1tcp syn 플래그가 활성화 된 패킷을 출력
http.request.uri matches "~~"~~와 url이 일치하는 패킷 출력 (contains): 포함
eth.addr == ff:ff:ff:ff:ff:ffmac 주소 broadcast인 패킷 출력
dns.qry.name == www.naver.comdns query 중 host가 www.naver.com인 패킷 출력

Filtering이 잘 적용되었다면 초록, 아니라면 빨강.


참조/출처

https://openmaniak.com/kr/wireshark_filters.

https://www.youtube.com/watch?v=gqYRsuu__9Q&list=PL1jdJcP6uQttMt4D7dzNmab4FSflAzySp&index=6

https://cypsw.tistory.com/39

https://jakejoo.tistory.com/entry/%ED%95%84%ED%84%B0-%EB%AC%B8%EB%B2%95-%EC%82%AC%EC%9A%A9

https://packetlife.net/blog/2008/oct/18/cheat-sheets-tcpdump-and-wireshark/

post-custom-banner

0개의 댓글