와이어샤크 사용법 ( Capture Filtering / Display Filtering )

와이어샤크 유용한기능 http://itsaessak.tistory.com/172

[ 와이어샤크 구성 ]

[ 그림1 ]

 

1> 패킷 리스트 ( Packet List )    - 수집된 패킷들의 목록

2> 패킷 디테일 ( Packet Detail )    - 해당 패킷의 정보

3> 패킷 바이트 ( Packet Bytes )   - 패킷의 정보를 바이트로 표현

 

[ 출력 요소 ]

순서(1번부터) / 수집된 시간 / 출발지주소 / 도착지주소 / 프로토콜 / 길이 / 목록

[ 단축키 ]

Ctrl + d    일시적으로 해당 패킷 삭제한다

Ctrl + m    해당 패킷을 마킹해놓을수 있다

Ctrl + Alt + c    해당 패킷에 comment를 달아놓을 수 있다

 

[ 패킷 필터링하기 ] - 2가지 방법이 있고, Display Filter가 대중적으로 사용됨

1> Capture Filter

- 해당 장치에 들어오는 패킷들을 모두 Rule과 비교하여 일치하는 패킷만 화면에 출력한다

- 너무 복잡한 Rule을 사용하면 성능이 떨어진다

- Rule에 일치하지 않는 패킷들은 아예 수집조차 하지 않는다

 

* Caputre Filter 방법

[ 그림2 ]

 

[ Capture ] - [ Options ] 클릭

 

[ 그림3 ]

 

해당 상자 부분이 캡쳐필터의 조건을 줄 수 있는 공간입니다

" ARP " 패킷만 읽어들이도록 조건을 주고 Start 시켜보겠습니다

 

[ 그림4 ]

 

조건에 맞게 " ARP " 패킷만 읽어드리고 있습니다

참고로 자주 사용하는 조건을 저장시켜 놓을 수 있습니다

 

[ 그림5 ]

 

[ Capture ] - [ Cature Filters ] 클릭

 

[ 그림6 ]

 

" + " 버튼을 누르고 필터링 규칙명과 필터링 규칙을 입력해서 확인버튼을 클릭하면 규칙이 추가됩니다

 

[ 그림7 ]

 

[ Capture ] - [ Option ] 을 통해서 규칙을 적용시키려고 들어가보면 입력시켜놓은 규칙이 보입니다

위에서 말했다시피 캡쳐필터는 모든 패킷을 규칙에 맞는지 확인하고 패킷들을 받아들이므로 복잡한 규칙사용시 성능이 떨어지므로 간단한 규칙을 사용하여야 합니다

 

2> Display Filter

- 일단 장치에 들어오는 모든 패킷들을 출력한 다음 Rule을 적용시켜 패킷들을 필터링해서 데이터를 분석하는 방법

- 복잡한 Rule을 적용시켜도 아무런 부담이 가지 않는다

- 대중적으로 가장 많이 쓰이는 방법

* Display Filter 방법

[ 그림 8 ]

 

위의 상자부분이 디스플레이 필터의 규칙값을 넣는 곳입니다

 

[ 그림9 ]

 

" Expression " 을 클릭하면 아래와 같은 화면을 보실 수 있습니다

[ 그림10 ]

 

왼쪽부분은 엄청나게 많은 규칙들이 있고 우측부분에는 관계식과 값을 넣을 수 있습니다

아래 부분에 조건식을 써놓고 확인버튼을 누르면 필터링 규칙이 적용되서 패킷들이 구분되어집니다

 

[ 그림 11 ]

 

조건에 맞는 패킷들만 필터링 되서 화면에 출력되는 모습입니다

이미 패킷들이 수집된 상태에서 규칙에 맞게 분류만 하기 때문에 복잡한 필터링 규칙을 사용해도 되는 장점이 있습니다