초반에 캡쳐필터에 대해 언급한 적이 있다. 캡쳐 필터는 트래픽 덤프를
시작하는 과정에서 적용하는 것이고, 출력필터는 캡쳐된 데이터에서 보고싶은
내용을 필터를 걸어 화면에 출력시키는 것이다.
현재 와이어샤크는 약 9만6천개의 출력필터를 지원하며 지원하는 필터 정보는
다음 주소를 참고한다.
http://www.wireshark.org/docs/dfref/
출력필터는 와이어샤크 메인화면에서 아래와 같은 화면을 통해 출력필터를
적용할 수 있다.
필터가 워낙 많다보니 일일이 다 외울수 없어 몇 가지 편의사항을 제공하고 있다.
- 필터에 표시되는 색상을 통해 문법이 올바른지 확인할 수 있다.
- 문법을 정확히 모르는 경우 Expression 을 선택해 필요한 출력 필터를 만들 수 있음
- 출력된 상세정보에서 원하는 내용에 우측클릭하면 Apply 또는 Prepare 필터를
[그림 1 참고]
적용할 수 있다. Prepare 필터를 누르게 되면 출력 필터쪽에 선택된 내용이 입력되어
편하게 사용할 수 있다. 9만 여개의 필터를 다 외울 수도 없고, 필터를 몰라도
쉽게 사용이 가능하다.
[그림 2 참고]
필터를 적용해제하는 경우 Clear 를 선택하고 필터를 적용하는 경우는 Apply 를 선택한다.
[출력필터 예제]
특정 IP 주소 매핑 ip.addr == 192.168.1.1
SMTP 와 ICMP 트래픽만 출력tcp.port eq 25 or icmp
윈도우 관련한 트래픽으로 한정하기smb || nbns || dcerpc || nbss
특정 값을 포함한 UDP 정보 찾기udp contains 85:03:23
HTTP 요청에 포함된 문자열 찾기 http.request.uri matches “type=delete”
이더넷 타입이 Loopback인 트래픽 제외!eth.type == 0x9000
이더넷 벤더 주소로 트래픽 찾기 eth.src[0:3] == 00:00:83
ICMP 타입이 3인 경우 (Destination unreachable)icmp.type == 3
smb.path 에서 \\SERVER\SHARE 찾기 smb.path contains "\\\\SERVER\\SHARE"
마지막으로 다시 언급하자면, 캡쳐필터와 출력필터는 문법이 다르다는 점이다.
[그림 1] 필터 문법 제작 기능
[그림 2] 상세정보에서 필터 만들기
댓글 없음:
댓글 쓰기