1. 패킷필터
- 미리 필터를 적용해서 원하는 것만 패킷으로 필터링을 거는 것
- 디스플레이 필터에 비해 간단함
2. 화면 필터
- 화면에 나타난 후 필터링을 하는 것
- 대부분 화면 필터를 사용함
- ex. ip.addr==192.168.0.13
- ip.dst_host == 192.168 (destination)
- ip.dst_host == 192.168.0.13 and http (protocol이 http인 것을 포함)
- frame.len <=128 (frame길이)
- 논리연산자 and, or, xor, not 지원
- ! tcp.port == 80 (tcp 포트가 80이 아닌 것만 지원)
- udp.srcport == 43096
3. 패킷 캡쳐
- 캡처는 보통 이더넷 (로컬 영역과 유사)
- adress 정보가 나오면 ip를 확인할 수 있음
- 콘솔형태 pcap 파일로 저장
- create a new file automa~: 얼마큼 분석할 것인가? 용랑 나눠 분석하고 싶을 때
4. 메인툴바 기능
- 돋보기를 이용해 활용할 수 있음
- 필요한 단축키 (이동하는)는 외우기
- 몇 번 패킷으로 가고 싶을 때 (주로 string 사용) Ctrl + z를 하고 go to packet 하기
- mask, unmask 쓰는 것도 좋음
- 대량의 패킷을 분석할 때 도움이 됨
- 캡처하는 동안에 stroll이 자동으로 넘어가게 해주는 것 (느려질 때는 끄기)
- Live일 땐 키기
- 분석하고 있는 것을 컬러링 (항상 키기)
- Coloring Rules에서 확인 가능
5. 패킷 연산자
- host 192.168.0.1 -> 이거에 대해서만 진행함
- host 192.168.0.1 && tcp port 80 (and연산자) (앞은 프리미티브라고 함)
- host 이름으로 표현할 수도 있음 ex. host kali
- 출발지는 scr host 192.168.0.9라고 함
- 목적지는 dst host 192.168.0.251라고 함
- port 8080 (8080만 수집)
- not port 8080
- ! port 8080
6. 디스플레이 연산자
- ip addr == 192.168.0.13
- ip.src
- ip.dst_host == 192.168.0.13 and http
- frame.len <= 128
- and, or, xor(or의 반대 형식으로 조건이 참일 때), not
- tcp.port == 80
- ! tcp.port == 80
- Apply as filter를 사용해도 됨
'정보보안 (기술) > Wireshark 실습' 카테고리의 다른 글
| 와이어샤크 기초 5. 침해사고 분석 기능 - Sparta 패킷 분석 (0) | 2024.07.09 |
|---|---|
| 와이어샤크 기초 4. 침해사고 분석 기능 - Nlkto 패킷 분석 (0) | 2024.07.09 |
| 와이어샤크 기초 3. 침해사고 분석 기능 (0) | 2024.07.09 |
| 와이어샤크 기초 1. 와이어샤크 설명 (0) | 2024.07.08 |