출처 : http://stih.tistory.com/3


GOAL 

이번강의 에서는 필터를 설정해서  원하는 패킷을 찾는 방법을 배워보도록하겠습니다.

 

Prologue

필터 : 말그대로 걸러내는 것입니다 . 원하는 정보만을 걸러내서 수많은 패킷중에 자신이 원하는 패킷을 걸러내는 것이라고 할수 있습니다.
Wireshark
그러면 본격적으로 필터사용법을 알아보도록 하겠습니다 .

 

 

와이어 샤크를 보면 위의 사진같은 부분이 보입니다 .
위의 사진이 바로 필터를 사용하는 부분이라고 볼수 있습니다.
사용법은 간단합니다 필터에 명령값을 입력하고 Apply를 입력하면 필터가 적용됩니다.
여기서 필터를 사용하려면 필터에대한 필터식을 알아야됩니다.
여기서는 Expression을 눌러보면 사용할수 있는 필터식을 볼수 있습니다.
 일단 Expression 을 눌러보겠습니다.
여기서 Expression 을 간단하게 설명하고 넘어가겠습니다.

먼저 1번 필드 네임 각종 프로토콜과 옵션을 설정 할수 있습니다.
2번째  Relation 관계식을 설정합니다.
3번째 4번쨰  Value 찾고자 하는 값을 적습니다.
5번째 확실히는 모르겠지만 오프셋값의 길이를 찾는것 같습니다.
offset (optional) The offset (in octets) from the begining of the Tvb. Defaults to 0.
length (optional) The length (in octets) of the range. Defaults to until the end of the Tvb

그럼이제 필터를 설정해보겠습니다 .

일반적인 IP의 TCP를 찾아 보도록 하겠습니다.

일단 IP(IPv4)를 찾아서 프로토콜을 찾는 옵션을 다음과 같이 선택합니다.

그다음 관계식을 설정하면 values 값이 활성화 됩니다 .

그러면 그중에 TCP를 설정하면 TCP 프로토콜로된 패킷을 찾는 필터가 됩니다.

 
여기서 관계식에 대해서 간단하게 살펴보겠습니다.
 
== 값과 일치하는 값을 선택
 ip.proto ==6 프로토콜 값이 6인것을 선택
 
!= 값과 일치하는 값을 제외
 ip.proto !=6 프로토콜 값이 6인것을 제외
 
> < >= <=  값보다 크거나 작거나 크거나같고 작거나같은 값을 선택
 
이제 2가지의 옵션을 선택하고자 할때의 방법을 알아보도록 하겠습니다 .
&& 연산자 2가지 값을 동시에 만족할때 선택
 ip.proto ==6 && ip.addr==127.0.0.1
프로토콜 값이 6이고 아이피 주소가 127.0.0.1 일때 출력
 
|| 연산자 2가지 값중 1가지라도 만족하면 선택
ip.proto ==6 || ip.addr==127.0.0.1
ip주소가 127.0.0.1 이거나 프로토콜 값이 6 일때 출력
 
이 강의에서 원하는 패킷을 찾는 방법 필터링을 하는 법을 알아보았습니다 .
그러면 이지식을 바탕으로 프로토콜이 TCP 이면서 아이피 주소가 127.0.0.1인 패킷을 찾는것은 쉽겟죠 .
ip.proto == 6 && ip.addr==127.0.0.1 이런 필터링 구문이 되겟죠 .
그럼 이것으로 필터 설정하는것을 알아보았습니다.
 
다음강의 에서는 패킷을 분석할때 원하는 값을 필터링 값으로 넣을수 있는 기능에대해 설명해보겠습니다 .
감사합니다.