[와이어샥] 디스플레이 필터 사용하기

 

 
안녕하세요 이웃님들 ^.^
오늘은 영어가 아닌 간만에 전공쪽에 조금 가까운
 
네트워크 분석 툴인 와이어샤크의 디스플레이 필터 부분에 대해서 
포스팅을 해보도록 하겠습니다.
 
패킷 캡처를 하다 보면 수천, 수만 개의 패킷이 한 번에 쏟아지면서
“도대체 내가 보고 싶은 패킷은 어디 있는 거야?” 라는 생각 많이 해보셨죠?
 
이럴 때 강력한 힘을 발휘하는 기능이 바로 디스플레이 필터(Display Filter) 입니다.
오늘은 Wireshark에서 디스플레이 필터를 활용하는 방법과 자주 사용하는 필터 문법을 정리해 보겠습니다.

디스플레이 필터 vs 캡처 필터 차이

먼저 많이 헷갈리는 부분부터 짚고 갑니다.

종류적용 시점특징

Capture Filter	패킷 캡처 시작할 때	저장 자체를 제한
Display Filter	캡처 후 화면에 표시만 제한	언제든 변경 가능

👉 디스플레이 필터는 이미 캡처된 데이터 중에서 원하는 것만 골라 보는 기능이라고 이해하면 됩니다.
 
와이어샥에서 디스플레이 필터는 아래의 빨간색 부분에 필터값을
입력 하여 보고 싶은 패켓만 필터해서 보시면 됩니다.
 

 

디스플레이 필터 기본 문법

1️⃣ 프로토콜 단위 필터링

가장 기본적인 방법은 프로토콜 이름만 입력하는 것입니다.

 

ip tcp udp http dns icmp

입력하면 해당 프로토콜 패킷만 남고 나머지는 모두 숨겨집니다.

2️⃣ IP 주소 기준 필터링

🔹 특정 IP만 보고 싶을 때

 

ip.addr == 192.168.0.10

🔹 출발지(Source)만

 

ip.src == 192.168.0.10

🔹 목적지(Destination)만

 

ip.dst == 192.168.0.10

3️⃣ 포트 기준 필터링

🔹 TCP 포트

 

tcp.port == 80

🔹 출발지 포트

 

tcp.srcport == 443

🔹 목적지 포트

 

tcp.dstport == 8080

UDP도 동일하게 가능

 

udp.port == 53

4️⃣ AND / OR / NOT 논리 조건

디스플레이 필터는 논리연산을 지원합니다.

🔹 AND 조건 (&&)

HTTP이면서 특정 IP만 보고 싶을 때:

 

http && ip.addr == 192.168.0.10

🔹 OR 조건 (||)

 

tcp.port == 80 || tcp.port == 443

🔹 NOT 조건 (!)

 

!icmp

→ ICMP를 제외한 모든 패킷 표시

5️⃣ 문자열 검색 (contains)

HTTP 요청에서 특정 문자열을 포함하는 패킷만 보고 싶다면?

 

http contains "login"

예:

 

frame contains "password"

6️⃣ 길이(length) 조건

프레임 길이 지정

 

frame.len > 500

7️⃣ 응답/오류 등 상태 코드 필터

HTTP 상태코드

 

http.response.code == 200 http.response.code == 404

8️⃣ 특정 TCP 상태 필터

SYN 패킷만

 

tcp.flags.syn == 1 && tcp.flags.ack == 0

SYN + ACK

 

tcp.flags.syn == 1 && tcp.flags.ack == 1

RST 패킷

 

tcp.flags.reset == 1

9️⃣ MAC 주소 필터

 

eth.addr == aa:bb:cc:dd:ee:ff

 

🎯 실무에서 바로 쓰는 추천 필터 모음

✔ 특정 장비 통신 확인

 

ip.addr == 10.0.0.5

✔ 서버: 클라이언트 방향 트래픽만

 

ip.src == 서버IP && tcp

✔ DNS 패킷만

 

dns

✔ HTTP 트래픽만

 

http

✔ 패킷 잡히는데 연결이 안될 때 (RESET 확인)

 

tcp.flags.reset == 1

 

위의 조건만 완벽히 숙지 하시면 와이어샥을 이용한 네트워크 분석 하시는데는

아무 문제가 없을것 같습니다.

 

그럼 오늘도 해옵한 하루 되시구요.