웹사이트 검색

Wireshark에서 필터를 사용하는 방법


이 페이지에서

  1. 무엇을 다룰 것인가?
  2. Wireshark 필터 소개\n
  3. 캡처 필터 작성\n
  4. 표시 필터 작성\n
  5. 결론

Wireshark는 무료 오픈 소스 소프트웨어(FOSS)이며 열정적인 개발자 커뮤니티에서 개발했습니다. Wireshark(이전 Ethereal)는 네트워크에서 트래픽을 캡처하고 조사하는 데 사용됩니다. Wireshark를 사용하면 네트워크에서 무슨 일이 일어나고 있는지 볼 수 있습니다. 트래픽이 들어오는 곳과 가는 곳을 볼 수 있습니다. 프로덕션 환경에서 작업하는 경우 트래픽이 많이 발생합니다. Wiresharks의 필터 기능에 대한 지식 없이 이 트래픽을 검사하는 것은 매우 번거로울 것입니다. 필터를 사용하면 원하는 트래픽 유형을 정확하게 볼 수 있으며 다른 모든 것은 장면에서 제거됩니다.

우리는 무엇을 다룰 것인가?

이 가이드에서는 Wireshark에서 필터를 만들고 효율적으로 적용하는 방법을 살펴보겠습니다. 지금 시작합시다.

Wireshark 필터 소개

Wireshark 필터는 패킷 검색을 단순화하는 것입니다. 예를 들어 특정 IP 주소의 TCP 트래픽 또는 패킷만 보려면 필터 표시줄에서 적절한 필터를 적용해야 합니다. Wireshark는 "TCP 트래픽 필터링\ 또는 "목적지 X의 트래픽 표시\라는 간단한 문장을 이해하지 못합니다. 따라서 이러한 필터를 적용하기 위한 멋진 구문과 규칙을 배워야 합니다.

Wireshark에는 기본적으로 Capture Filter와 Display Filter의 두 가지 유형의 필터가 있습니다. 둘의 구문과 적용 방식에는 차이가 있습니다.

캡처 필터는 캡처 작업이 시작되기 전에 적용됩니다. 이러한 방식으로 보고 싶은 트래픽만 저장됩니다. 캡처 작업이 시작된 후에는 이 필터를 변경할 수 없습니다. 반면 디스플레이 필터는 캡처된 모든 패킷에 적용됩니다. 나중에 취소 및 변경할 수 있습니다(캡처가 실행되는 동안 적용 가능).

디스플레이 필터에서 캡처는 실제로 추적 버퍼에 저장됩니다. 따라서 중요하지 않은 트래픽만 숨기고 관심 있는 트래픽만 표시합니다.

캡처 필터 작성

먼저 캡처 필터부터 시작하겠습니다. Wireshark를 실행한 후 첫 번째 화면에서 캡처 필터를 찾을 수 있습니다.

마찬가지로 기어 아이콘(2)을 클릭할 수도 있습니다. 두 경우 모두 아래 창이 표시됩니다.

캡처 필터는 libpcap 필터 형식으로 작성됩니다. 일련의 원시 표현식으로 구성됩니다. 이러한 표현은 접속사(and/or)로 연결되며 'not'으로 시작할 수 있습니다. 구문은 다음과 같습니다.

[not] primitive [and|or [not] primitive ...]

이를 설명하기 위해 호스트 192.168.18.161에서 들어오고 나가는 UDP 트래픽을 캡처한다고 가정합니다. 이 경우 캡처 필터 표현식은 다음과 같습니다.

UDP 및 호스트 192.168.18.161

  1. [src|dst] host : 호스트 IP 주소 또는 이름을 필터링하는 데 사용됩니다. 소스 또는 대상 주소를 식별하기 위해 src|dst 앞에 올 수 있습니다.\n
  2. ether [src|dst] host : 이더넷 호스트 주소를 필터링하는 데 사용됩니다. 소스 또는 대상 주소를 식별하기 위해 src|dst 앞에 올 수도 있습니다.\n
  3. 게이트웨이 호스트 <호스트>: 호스트를 게이트웨이로 사용한 패킷을 필터링하는 데 사용됩니다.\n
  4. [src|dst] net [{mask }|{len }]: 네트워크 번호 필터링에 사용됩니다. 소스 또는 대상 주소를 식별하기 위해 src|dst 앞에 올 수도 있습니다.\n
  5. [tcp|udp] [src|dst] port : TCP 및 UDP 포트 번호를 필터링하는 데 사용됩니다.\n

여기 목록에서 위 표현식에 대한 모든 프리미티브를 찾을 수 있습니다.

표시 필터 작성

표시 필터를 작성하려면 부울 연산자에 대한 지식이 필요합니다. 예, 맞습니다. 기본 AND, OR 및 NOT 작업에 대해 이야기하고 있습니다. 이를 사용하여 여러 필터 쿼리를 하나로 결합할 수도 있습니다. 예를 들어 포트 80을 사용하는 TCP 트래픽 및 패킷을 찾는 경우 필터를 다음과 같이 작성할 수 있습니다.

tcp 및 tcp.port == 80

또 다른 방법은 다음 표현을 사용하는 것입니다.

tcp && tcp.port == 80

아래에는 표시 필터에서 일반적으로 사용되는 부울 표현식이 나열되어 있습니다.

1. == 또는 eq(동일 연산)

2. && 또는 and ( 그리고 연산)

3. || (이중관) 또는 또는 (또는 작동)

결론

이 가이드에서는 'Wireshark 소프트웨어에서 필터를 사용하는 방법'에 대해 배웠습니다. 실습을 수행하여 Wireshark 필터를 탐색하는 것이 좋습니다. 이러한 방식으로 이 도구를 더 잘 이해할 수 있습니다. 관심이 있는 경우 Wireshark의 공식 웹 사이트(https://www.wireshark.org)를 방문하여 Wireshark에 대해 자세히 알아볼 수 있습니다.