[21.08.24]와이어 샤크 캡처 필터 기능의 이해

https://www.inflearn.com/course/wireshark_boanproject/lecture/22146?tab=curriculum 

IT보안을 위한 와이어샤크 네트워크 패킷 분석 실전 - 인프런 | 학습 페이지

 

해당 강의를 참고하여 글을 작성하였다. 

 

와이어 샤크의 필터 기능은 크게 캡처 필터와 화면 필터가 있다.

캡처 필터는 다음과 같이 캡처할 때 부터 필터링을 거는 것이며 위의 이미지와 같이 네모 영역이 필터링 기능이다.

내가 며칠동안 패킷을 특정 포트나 프로토콜을 필터링하고 싶을 때 캡처 필터 기능을 이용하면 된다. 

 

단점은 특정 필터 외에 다른 중요한 패킷을 캡처할 수 없다는 것이다. 

 

해당 캡처 필터링 옆에 있는 깃발 모양을 클릭하여 다음과 같이 자주 사용하는 프로토콜들을 선택할 수 있다. 

또한 캡처 필터링에 빨간색이 뜬다면 검색 단어를 잘못 입력한 것이며 초록색이 나와야 정확한 구문이라고 볼 수 있다.

 

 

port 80 tcp에 관련한 프로토콜만 나오게 선택하여 특정 패킷만 캡처되게 설정하였다. Start를 누르고, 네이트에 들어가면 다음과 같이 패킷 리스트 영역에 port 80 관련한 tcp 프로토콜만 나오는 것을 볼 수 있다.

 

이외에도 깃발을 누르지 않고 임의로 수작업을 통해 캡처 필터링을 할 수 있다.

 

예를들어 출발지 혹은 목적지 주소가 host 192.168.0.1 포트가 80인 tcp 프로토콜만을 필터링 한다면 다음과 같이 작성하면 된다. host 192.168.0.1과 tcp port 80을 각각의 primitive 원소라고 한다.

 

또는 src, dst 키워드를 작성하여 소스 아이피와 데스티네이션 아이피를 필터링 할 수 있다.

 

src host 10.50.130.16 패킷필터링을 한다면 출발지 10.50.130.16에 대한 캡처 필터링을 해주세요. 라는 뜻이다.

 

또한 not 또는 ! 키워드를 사용하여 10.50.130.16을 제외한 모든 패킷을 필터링을 할 수 있다. 

 

하지만 왠만하면 깃발 모양(실제로는 manage saved bookmarks이다.)을 사용하여 필터링을 하면 된다.