본문 바로가기

Tech/서비스추천

Wireshark 와이어샤크 - 패킷캡처, 필터

네이버 공유하기
728x90

http://blog.naver.com/PostView.nhn?blogId=go4693&logNo=221027608015



와이어샤크 https://www.wireshark.org/#download


Filter 해서 보는 방법을 알아보겠습니다.

-출발지나 목적지 IP 주소로 검색
ip.addr == 192.168.0.1 
-출발지 IP 주소로 검색
ip.src == 192.168.0.1
-도착지 IP 주소로 검색
ip.dst == 192.168.0.1

위와 같은 규칙으로

-A 클래스 netID로 검색
ip.addr == 10.0.0.0/8 
ip.src / ip.dst 동일   /8 /16 /24  클래스 구분 

-포트로 검색
tcp.port == 443
tcp.srcport / tcp.dstport 동일

- 웨이크온랜 WOL (Wake On Lan) 원격 부팅 검색시
udp.port == 9


ip.src == 192.168.0.1 && ip.dst == 192.168.0.2  
&&를 and로 해도 됨
==를 eq로 해도 됨
||를 or로 해도 됨

http && (ip.src == 192.168.0.1 || ip.src == 192.168.0.2)
프로토콜이 http이고 출발지 아이피가 192.168.0.1 이거나 192.168.0.2 인 것 검색

해당 검색 기준을 제외하고 검색하려고 할 때
앞에! 붙여주면 부정 의미로 제외하고 검색이 됩니다.
!(ip.addr == 192.168.0.1)

http contains "naver.com"
프로토콜이 http이고 naver.com이 들어간 것 검색


arp는 3 way handshaking을 기본적으로 합니다.
SYN를 먼저 보내는 쪽이 클라이언트입니다.
FTP인 경우 RETR으로 검색하면 파일 전송 패킷을 확인할 수 있습니다.
HTTP인 경우 get이나 post를 찾으면 페이지 요청을 확인할 수 있습니다.

파일이나 이미지의 경우
Hxd 프로그램으로 저장하여 해당 파일의 헤더 파일을 살려주면 실제 파일로 복원할 수 있습니다.



검색하다 보면 기록된 정보가 길어져서
화면에 다 안 보일 때가 있는데요




마우스 위치에 있는 아이콘을 누르면 아래에 스크롤 바가 생겨서 잘린 부분을 볼 수 있습니다.


반응형
네이버 공유하기


* 쿠팡 파트너스 활동을 통해 일정액의 수수료를 제공받을 수 있습니다.