달력

05

« 2018/05 »

  •  
  •  
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23
  • 24
  • 25
  • 26
  • 27
  • 28
  • 29
  • 30
  • 31
  •  
  •  

'패킷캡처'에 해당되는 글 1

  1. 2017.07.25 Wireshark 와이어샤크 - 패킷캡처, 필터

http://blog.naver.com/PostView.nhn?blogId=go4693&logNo=221027608015



와이어샤크 https://www.wireshark.org/#download


Filter 해서 보는 방법을 알아보겠습니다.

-출발지나 목적지 IP 주소로 검색
ip.addr == 192.168.0.1 
-출발지 IP 주소로 검색
ip.src == 192.168.0.1
-도착지 IP 주소로 검색
ip.dst == 192.168.0.1

위와 같은 규칙으로

-A 클래스 netID로 검색
ip.addr == 10.0.0.0/8 
ip.src / ip.dst 동일   /8 /16 /24  클래스 구분 

-포트로 검색
tcp.port == 443
tcp.srcport / tcp.dstport 동일

- 웨이크온랜 WOL (Wake On Lan) 원격 부팅 검색시
udp.port == 9


ip.src == 192.168.0.1 && ip.dst == 192.168.0.2  
&&를 and로 해도 됨
==를 eq로 해도 됨
||를 or로 해도 됨

http && (ip.src == 192.168.0.1 || ip.src == 192.168.0.2)
프로토콜이 http이고 출발지 아이피가 192.168.0.1 이거나 192.168.0.2 인 것 검색

해당 검색 기준을 제외하고 검색하려고 할 때
앞에! 붙여주면 부정 의미로 제외하고 검색이 됩니다.
!(ip.addr == 192.168.0.1)

http contains "naver.com"
프로토콜이 http이고 naver.com이 들어간 것 검색


arp는 3 way handshaking을 기본적으로 합니다.
SYN를 먼저 보내는 쪽이 클라이언트입니다.
FTP인 경우 RETR으로 검색하면 파일 전송 패킷을 확인할 수 있습니다.
HTTP인 경우 get이나 post를 찾으면 페이지 요청을 확인할 수 있습니다.

파일이나 이미지의 경우
Hxd 프로그램으로 저장하여 해당 파일의 헤더 파일을 살려주면 실제 파일로 복원할 수 있습니다.



검색하다 보면 기록된 정보가 길어져서
화면에 다 안 보일 때가 있는데요




마우스 위치에 있는 아이콘을 누르면 아래에 스크롤 바가 생겨서 잘린 부분을 볼 수 있습니다.


Posted by 멋지다마라송


티스토리 툴바