🌐 와이어샤크 필터 정리 (Wireshark Filter)
와이어샤크(Wireshark)는 네트워크 패킷을 분석하는 대표적인 도구로, 필터 기능을 통해 필요한 데이터만 추출하여 분석할 수 있습니다.
이 글에서는 와이어샤크의 필터 명령어, 관련 기호, 그리고 실제 예제를 정리 함.
1.기본 필터 명령어
✅ 특정 프레임 번호 필터
frame.number == 94✅ TCP 소스 포트 필터
1.패킷 클릭
2.TCP 계층 클릭 -> Source Port 선택
3.좌측 하단에 자동 생성되는 필터 확인
예시:
tcp.srcport == 4432.필터 관련 기호
2-1) 필터 연산자 기호 요약표
[연산자] [설명]
--------------------------
&& and (그리고)
|| or (또는)
== eq (같음)
! not (부정)
( ) 그룹 묶기
>= 크거나 같음
<= 작거나 같음
> 큰 경우
< 작은 경우📌자주 쓰는 예자주 쓰는 예시
ip.addr == 192.168.0.1 && tcp.port == 80
!(icmp || arp)
(ip.src == 10.0.0.1) || (ip.dst == 10.0.0.1)2-2) TCP/UDP 관련 필터
[tcp] TCP 프로토콜 필터
[udp] UDP 프로토콜 필터
[tcp.port == 80] TCP 80번 포트 필터
[udp.port == 53] UDP 53번 포트 필터 (DNS)2-3) IP 관련 필터
[ip.addr == 192.168.1.201] 해당 IP와 관련된 트래픽
[ip.src == 192.168.1.201] 출발지 IP 필터
[ip.dst == 192.168.1.201] 목적지 IP 필터2-4) ! 관련 필터
[!tcp] TCP 프로토콜 제외
[!(ip.addr == 192.168.1.201)] 특정 IP 제외2-5) ICMP 관련 필터
[icmp] ICMP 전체 필터
[icmp.type == 8] Echo Request (ping 요청)
[icmp.type == 0] Echo Reply (ping 응답)2-6) Ethernet 관련 필터
[eth.addr == aa:bb:cc:dd:ee:ff] MAC 주소 필터
[eth.src == ...] / [eth.dst == ...] 출발지 / 목적지 MAC 주소2-7) ARP 관련 필터
[arp] 전체 ARP 트래픽 필터
[arp.src.proto_ipv4 == 192.168.1.201] 출발 IP가 해당 IP인 ARP 요청
[arp.dst.proto_ipv4 == 192.168.1.201] 목적지 IP가 해당 IP인 ARP 응답2-8) HTTP 관련 필터
[http] 전체 HTTP 트래픽 필터
[http.request] HTTP 요청 필터
[http.response] HTTP 응답 필터3.와이어샤크 필터 예제
3-1) 192.168.1.201 ARP 요청 및 응답
arp.src.proto_ipv4 == 192.168.1.201
arp.dst.proto_ipv4 == 192.168.1.2013-2) TCP 3-Way 핸드셰이킹 & HTTP(TCP 80)
ip.addr == 192.168.1.201 && tcp.port == 803-3) TCP 3-Way 핸드셰이킹 & FTP(TCP 21)
ip.addr == 192.168.1.201 && tcp.port == 213-4) TCP 3-Way 핸드셰이킹 & Telnet(TCP 23)
ip.addr == 192.168.1.201 && tcp.port == 233-5) ICMP Echo Request & Reply
ip.addr == 192.168.1.201 && icmp3-6) 168.126.63.1로 DNS 요청 및 응답
ip.addr == 168.126.63.1 && dns✅ 정리
• 와이어샤크 필터는 프로토콜, IP, 포트, 타입 등 다양한 조건으로 설정 가능
• 클릭만으로도 필터 자동 생성이 가능하므로 패킷 클릭 → 좌측 하단 필터 확인 습관화
• 예제를 통해 실습해보면 네트워크 트래픽 분석 능력 향상
벨로그 벨로