최고의 Wireshark 필터

이전에 Ethereal이라고 불렸던 Wireshark 는 사용자가 특정 네트워크에서 주고받는 정보를 모니터링하고 분석하는 데 도움이 되는 강력한 오픈 소스 프로그램입니다. 이 소프트웨어는 대부분의 네트워크 유형에서 수백 가지 프로토콜의 복잡한 데이터를 처리하여 데이터 패킷으로 구성할 수 있습니다. 그러나 네트워크에 갑자기 장애가 발생하거나 문제가 발생하면 패킷 검색이 너무 많아 많은 시간과 에너지가 필요할 수 있습니다. Wireshark의 편리한 특성이 바로 여기에 있습니다.

소프트웨어는 많은 양의 정보를 신속하게 선별할 수 있는 필터를 지원합니다. 캡처한 파일을 수동으로 확인하는 대신 확인하려는 데이터로 이동하는 필터를 적용할 수 있습니다.

최고의 Wireshark 필터와 나중에 이를 북마크하는 방법에 대해 알아보려면 계속 읽으십시오.

Wireshark 필터

Wireshark에는 두 가지 유형의 필터가 있습니다. 첫 번째는 캡처 필터이고 두 번째는 디스플레이 필터입니다. 그들은 다른 구문으로 작동하고 특정 목적을 수행합니다.

캡처 필터는 캡처 작업이 시작되기 전에 설정됩니다. 필터 설정을 캡처하여 관심 있는 트래픽 분석만 기록하고 저장합니다. 캡처 작업이 시작되면 이 필터 유형을 변경할 수 없습니다.

반면 디스플레이 필터에는 캡처된 모든 패킷에 적용되는 옵션이 포함되어 있습니다. 캡처 작업을 시작하기 전에 이러한 유형의 필터를 설정한 다음 조정하거나 비활성화할 수 있습니다. 또한 작업 중에 설정할 수 있습니다. 디스플레이 필터는 데이터를 추적 버퍼에 저장하여 관심 없는 트래픽은 숨기고 보고 싶은 정보만 표시합니다.

Wireshark에는 사용자가 네트워크를 더 잘 제어하는 ​​데 도움이 되는 인상적인 내장 필터 라이브러리가 있습니다. 기존 필터에 액세스하여 사용하려면 프로그램 도구 모음 아래의 디스플레이 필터 적용 섹션에 올바른 이름을 입력해야 합니다. 캡처 필터를 찾아 적용하려면 시작 화면 중간에 있는 캡처 입력 섹션을 사용하세요.

Wireshark는 포괄적인 필터링 기능을 자랑하지만 올바른 구문을 기억하는 것은 종종 어렵습니다. 적절한 필터를 입력하는 데 어려움을 겪을 때 귀중한 시간을 낭비하게 됩니다.

하지만 당신은 운이 좋다. 프로그램을 최대한 활용하고 저장된 데이터 더미를 분석하는 데 도움이 되는 최고의 Wireshark 필터 목록을 작성했습니다.

최고의 Wireshark 필터

프로그램을 마스터할 수 있는 몇 가지 유용한 필터를 살펴보겠습니다.

IP 주소 == xxxx

위의 필터는 주어진 IP 주소를 포함하는 캡처된 패킷만 표시합니다. 이것은 한 종류의 트래픽을 확인하기 위한 편리한 도구입니다. 필터를 적용하면 나가는 트래픽이 처리되고 찾고 있는 소스 또는 IP 주소와 일치하는 트래픽이 결정됩니다.

대상별로 필터링하려면 ip.dst == xxxx 옵션을 사용하십시오.

ip.src == xxxx 옵션을 사용하면 소스별로 필터링할 수 있습니다.

ip.addr == xxxx && ip.addr == xxxx

이 줄은 미리 설정된 두 IP 주소 사이에 대화 상자 필터를 설정합니다. 선택한 두 네트워크 또는 호스트 간의 데이터를 확인하는 데 매우 유용합니다. 필터는 관련 없는 데이터를 무시하고 가장 관심 있는 정보를 찾는 데만 중점을 둡니다.

ip.src == xxxx && ip.dst == xxxx 행을 사용하여 대상을 필터링합니다.

http 또는 dns

이 필터를 적용하면 각 DNS 또는 HTTP 프로토콜이 표시됩니다. 이것은 배우고자 하는 특정 프로토콜에 집중할 수 있게 해주는 시간 절약형 필터입니다. 예를 들어 의심스러운 FTP 트래픽을 찾아야 하는 경우 “ftp”에 대한 필터를 설정하기만 하면 됩니다. 웹 페이지가 표시되지 않는 이유를 알아보려면 필터를 “dns”로 설정하십시오.

tcp.port==xxx

위의 필터는 검색 범위를 특정 대상 또는 소스 포트로 좁힙니다. 캡처된 전체 패킷을 보는 대신 필터는 한 포트에서 들어오거나 나가는 트래픽에 대한 데이터를 생성합니다. 이것은 시간이 없을 때 작업에 의존할 수 있는 가장 편리한 필터 중 하나입니다.

tcp.flags.reset==1

이 필터를 적용하면 모든 TCP 재설정이 표시됩니다. 캡처된 각 패킷에는 연결된 TCP가 있습니다. 값이 1이면 수신 PC에 이 연결 사용을 중지해야 함을 알립니다. TCP 재설정이 즉시 연결을 종료하므로 이것은 가장 인상적인 Wireshark 필터 중 하나입니다.

TCP에 xxx가 포함되어 있습니다.

이 필터는 지정된 용어를 포함하는 모든 TCP 캡처 패킷을 찾습니다. 캡처에서 요소가 나타나는 위치가 궁금한 경우 “xxx” 대신 해당 이름을 입력하십시오. 필터는 용어의 모든 인스턴스를 찾아 패키지를 읽는 수고를 덜어줍니다. 예를 들어 “xxx”를 “traffic”으로 바꾸면 “traffic”이 포함된 모든 패킷이 표시됩니다. 이 필터의 가장 좋은 용도는 특정 사용자 ID 또는 문자열을 스캔하는 것입니다.

!(arp 또는 icmp 또는 dns)

위의 필터는 특정 프로토콜을 제외하도록 설계되었습니다. 불필요한 arp, dns 또는 icmp 프로토콜을 제거하는 데 사용합니다. 산만한 데이터를 차단하여 더 중요한 정보를 분석하는 데 집중할 수 있습니다.

tcp.time_delta>. 250

이 필터는 스트림에서 델타 시간이 250ms보다 큰 TCP 패킷을 표시합니다.

필터를 사용하기 전에 TCP 변환 타임스탬프를 계산해야 합니다. 대화의 대기 시간을 계산하는 것은 그리 어렵지 않지만 Wireshark에 대한 고급 지식이 필요합니다.

tcp.analysis.flags &&! tcp.analysis.window_update

이 필터를 사용하면 단일 추적에서 재전송, null 창 및 재생 공격을 볼 수 있습니다. 이것은 열악한 애플리케이션 성능이나 패킷 손실을 찾는 좋은 방법입니다.

Wireshark 필터 사용을 위한 팁

올바른 필터 구문이 기억나지 않으면 답답하고 중요한 데이터를 빨리 찾는 데 방해가 될 수 있습니다.

때로는 Wireshark의 자동 완성 기능이 문제를 해결하는 데 도움이 될 수 있습니다. 예를 들어 필터가 “tcp”로 시작한다고 확신하는 경우 해당 검색 필드에 이 정보를 입력합니다. Wireshark는 “tcp”로 시작하는 필터 목록을 생성합니다. 올바른 별칭을 찾을 때까지 검색 결과를 스크롤합니다.

필터를 찾는 또 다른 방법은 입력 필드 옆에 있는 “북마크” 옵션입니다. 표시 필터 관리 또는 필터 표현식 관리를 선택하면 필터를 수정, 추가 또는 제거할 수 있습니다. 복잡한 구문 약어를 기억하는 데 특히 자신이 없다면 “책갈피” 옵션이 일반적으로 사용되는 Wireshark 필터를 검색하는 편리한 도구입니다.

복잡한 캡처 필터를 다시 입력하는 대신 다음 단계에 따라 책갈피 메뉴에 저장하십시오.

• Wireshark 를 시작 하고 “책갈피” 옵션으로 이동합니다.

• “디스플레이 필터 관리”를 클릭하여 대화 상자를 엽니다.

• 대화 상자에서 해당 필터를 찾아 탭한 다음 “+” 버튼을 클릭하여 저장합니다.

디스플레이 필터를 저장하려면 다음을 수행해야 합니다.

• Wireshark 를 열고 “책갈피” 옵션으로 이동합니다.

• “디스플레이 필터 관리”를 선택하여 대화 상자를 엽니다.

• 옵션 목록을 스크롤하고 관련 필터를 두 번 탭한 다음 “+” 버튼을 클릭하여 책갈피로 저장합니다.

특정 데이터를 분석하기 바쁘다면 입력 필드 옆에 있는 아래쪽 화살표를 클릭하면 됩니다. 이 작업은 이전에 사용한 필터 목록을 생성합니다.

손쉬운 데이터 분석을 위한 필터 사용

Wireshark는 편리한 필터 덕분에 가장 인기 있는 네트워크 프로토콜 분석기 중 하나가 되었습니다. 이를 사용하여 시간을 절약하고 IP 주소 또는 16진수 값과 같은 특정 매개변수를 빠르게 찾을 수 있습니다. 자주 사용하는 필터의 다양한 이름을 기억하기 어렵다면 나중에 사용할 수 있도록 책갈피로 저장하세요.

Wireshark 필터를 얼마나 자주 사용합니까? 캡처 또는 디스플레이 필터에 더 의존합니까? 위에서 언급한 옵션 중 일부를 사용한 적이 있습니까? 아래 의견에 알려주십시오.