패킷 필터링은 특히 100,000개 이상의 매우 많은 수의 패킷이 있는 경우 패킷 분석에서 매우 중요한 부분입니다. 작업 3에서는 캡처 필터를 간략하게 다루었지만 더 강력하고 사용하기 쉬운 것으로 여겨지는 두 번째 유형의 필터가 있습니다. 이 두 번째 방법은 디스플레이 필터로 알려져 있으며 분석 탭과 패킷 캡처 상단의 필터 표시줄을 통해 두 가지 방법으로 디스플레이 필터를 적용할 수 있습니다.
필터링 연산자
Wireshark의 필터 구문은 이해하기 간단하여 빠르게 파악하기 쉽습니다. 이러한 필터를 최대한 활용하려면 부울 및 논리 연산자에 대한 기본적인 이해가 필요합니다.
Wireshark에는 숙지해야 할 몇 가지 사항만 있습니다.
및 - 연산자: 및 / &&
또는 - 연산자: 또는 / ||
같음 - 연산자: eq / ==
같지 않음 - 연산자: ne / !=
보다 큼 - 연산자: gt / >
보다 작음 - 연산자: lt / <
Wireshark에는 일반 논리 연산자의 성능을 뛰어넘는 몇 가지 다른 연산자도 있습니다. 이러한 연산자는 포함, 일치 및 비트별_and 연산자입니다. 이러한 연산자는 대규모 캡처가 있고 단일 패킷을 정확히 찾아내야 할 때 매우 유용할 수 있습니다. 이 방의 범위를 벗어나는 내용이지만 직접 조사해 보는 것이 좋습니다. Wireshark 필터링 문서가 좋은 출발점이 될 수 있습니다.
기본 필터링
필터링은 패킷으로 수행할 수 있는 작업의 범위가 매우 넓기 때문에 다양한 필터링 구문 옵션이 있을 수 있습니다. 우리는 이 방에서 IP, 프로토콜 등에 의한 필터링과 같은 매우 기본적인 사항만 다룰 것입니다. 필터링에 대한 자세한 내용은 Wireshark 필터링 문서를 확인하세요 .
필터 명령에는 일반적인 구문이 있지만 때때로 약간 이상할 수 있습니다. Wireshark 필터의 기본 구문은 ip 또는 tcp와 같은 일종의 서비스 또는 프로토콜이며, 그 뒤에 점과 주소, MAC , SRC, 프로토콜 등과 같이 필터링되는 모든 항목이 옵니다.
IP별 필터링: 우리가 살펴볼 첫 번째 필터는 ip.addr입니다. 이 필터를 사용하면 트래픽을 샅샅이 살펴보고 원본이든 대상이든 상관없이 해당 패킷에 포함된 특정 IP 주소가 있는 패킷만 볼 수 있습니다.
통사론:ip.addr ==
이 필터는 실제 애플리케이션에서 유용할 수 있습니다. 예를 들어 위협 사냥을 하고 다른 도구를 사용하여 잠재적으로 의심스러운 호스트를 식별한 경우 Wireshark를 사용하여 해당 장치에서 들어오는 패킷을 추가로 분석할 수 있습니다.
SRC 및 DST에 의한 필터링: 두 번째 필터는 ip.src 및 ip.dst 필터 연산자뿐만 아니라 2 in 1을 살펴봅니다. 이러한 필터를 사용하면 트래픽이 발생하는 소스와 대상을 기준으로 트래픽을 필터링할 수 있습니다.
통사론:ip.src == and ip.dst ==
첫 번째 필터와 유사하게 Wireshark가 패킷을 샅샅이 뒤지고 우리가 설정한 소스와 대상을 기반으로 필터링하는 것을 볼 수 있습니다.
TCP 프로토콜 에 의한 필터링 : 우리가 다룰 마지막 필터는 프로토콜 필터입니다. 이를 통해 필터링할 포트나 프로토콜을 설정할 수 있으며 사용 중인 비정상적인 프로토콜이나 포트를 추적하려고 할 때 유용할 수 있습니다.
Wireshark는 포트 번호와 프로토콜 이름을 모두 기준으로 필터링할 수 있다는 점을 언급할 가치가 있습니다.
통사론:tcp.port eq <Port #> or
UDP 프로토콜 로 필터링 : 접두사를 tcp에서 udp로 변경하여 UDP 포트로 필터링할 수도 있습니다.
통사론: udp.port eq <Port #> or
이것이 이 작업에 대한 필터링의 끝입니다. 그러나 다른 필터와 연산자를 직접 사용해 보는 것이 좋습니다. 준비가 되면 작업 5로 이동하세요.
