Wireshark에서 디스플레이 필터 사용 방법
Wireshark는 라이브 네트워크의 패킷 데이터와 이전에 캡처한 파일의 패킷 데이터를 검사할 수 있는 GUI 기반의 네트워크 패킷 분석기입니다. 매우 강력한 도구이지만, 초보자들이 흔히 겪는 문제는 너무 많은 데이터가 표시되어 실제로 찾고 있는 정보를 정확히 파악하기 힘들다는 것입니다. 이때 Wireshark의 디스플레이 필터가 도움이 됩니다.
참고 - Wireshark가 완전히 처음이라면 기본 튜토리얼을 먼저 살펴보는 것이 좋습니다.
디스플레이 필터
다음은 Wireshark에서 실시간 캡처의 예입니다:
GUI의 대부분은 모든 수신 및 전송 패킷에 대한 정보(시간, 출처, 목적지 등)를 표시하는 데 사용됩니다. 이 정보를 필요에 따라 필터링하려면, 창 상단에 있는 필터 박스를 사용해야 합니다.
1. 프로토콜에 따라 정보 필터링하기
특정 프로토콜에 따라 결과를 필터링하려면, 필터 박스에 프로토콜 이름을 입력하고 Enter를 누릅니다. 예를 들어, 다음 스크린샷은 HTTP 프로토콜과 관련된 정보를 표시합니다:
프로토콜 열에 HTTP 항목만 포함되어 있는 것을 확인하십시오. 여러 프로토콜과 관련된 정보가 필요하다면, 프로토콜 이름을 이중 파이프(논리 OR 연산자) ||로 구분하여 입력합니다. 예를 들면:
http || arp || icmp
2. IP 주소에 따라 정보 필터링하기
출발지 IP에 따라 결과를 필터링하려면 ip.src 필터를 사용합니다. 예를 들면:
ip.src==50.116.24.50
유사하게, 목적지 IP 주소에 따라 결과를 필터링하려면 ip.dst를 사용합니다. 특정 IP에서 출발지 및 목적지 패킷을 모두 표시하려면 ip.addr 필터를 사용합니다. 예를 들면:
ip.addr==50.116.24.50
출발지 또는 목적지 IP 주소가 50.116.24.50인 패킷이 출력에 표시됩니다.
특정 IP 주소가 포함되지 않은 패킷을 제외하려면 != 연산자를 사용합니다. 예를 들면:
ip.src!=50.116.24.50
3. 포트에 따라 정보 필터링하기
네트워크 포트를 기준으로 캡처된 트래픽을 필터링할 수 있습니다. 예를 들어, TCP 출발지 또는 목적지 포트 80을 포함하는 패킷만 표시하려면 tcp.port 필터를 사용합니다. 예를 들면:
tcp.port==80
유사하게, tcp.srcport 및 tcp.dstport를 사용하여 TCP 출발지 및 목적지 포트에 따라 결과를 별도로 필터링할 수 있습니다.
Wireshark는 또한 TCP 플래그에 따라 결과를 필터링할 수 있는 기능이 있습니다. 예를 들어, SYN 플래그가 포함된 TCP 패킷만 표시하려면 tcp.flags.syn 필터를 사용합니다. 예를 들면:
유사하게, tcp.flags.ack, tcp.flags.fin 등의 필터를 사용하여 ACK, FIN과 같은 다른 플래그에 따라 결과를 필터링할 수 있습니다.
4. 다른 유용한 필터들
Wireshark는 선택된 패킷에 포함된 데이터를 창 하단에 표시합니다. 때때로 문제를 디버깅하는 과정에서 특정 바이트 시퀀스를 기준으로 패킷을 필터링해야 할 필요가 있습니다. Wireshark를 사용하여 쉽게 할 수 있습니다.
예를 들어, 00 00 01 바이트 시퀀스를 포함하는 TCP 패킷은 다음과 같이 필터링할 수 있습니다:
tcp contains 00:00:01
계속해서 IP 주소를 기준으로 결과를 필터링하는 것처럼, MAC 주소를 기준으로 결과를 필터링할 수도 있습니다. eth.addr 필터를 사용합니다. 예를 들어, MAC 주소가 AA:BB:CC:DD:EE:FF인 머신에서 들어오고 나가는 모든 트래픽을 보려면 다음 필터 명령을 사용합니다:
eth.addr == AA:BB:CC:DD:EE:FF결론
여기서는 Wireshark의 표면만 스쳐 지나갔으며, Wireshark는 더 많은 기능을 제공합니다. Wireshark 디스플레이 필터에 대한 더 많은 정보는 Wireshark 공식 웹사이트 또는 Wiki Wireshark 웹사이트를 방문하십시오. 궁금한 점이나 질문이 있으면 아래에 댓글을 남겨 주세요.
