https://www.wireshark.org/

 

와이어샤크는 패킷 캡처 프로그램입니다.

네트워크에 돌아다니는 패킷을 분석할 수 있는 유명한 툴입니다.

 

오랜만에 홈페이지를 갔다가 "어? 여기가 아닌가?" 할 정도로 개편이 많이 되었네요.

 

와이어샤크 학습 동영상도 있으니 참 멋지다 싶습니다.

저도 이런 툴을 만들어서 공개하고 싶네요 ^_^

 

아무것도 안해도 패킷을 캡처해보면 엄청나게 많은 패킷이 왔다갔다 하는걸 알 수 있습니다.

너무 많으니 적절하게 필터를 걸어야 하는데요, 맨날 찾아다니는 유용한 필터를 모아봤습니다.

 

---

eth.addr == 00:30:f9:00:00:01   출발지나 목적지 MAC 주소로 검색

eth.src == 00:30:f9:00:00:01  출발지 MAC주소 검색

eth.dst == 00:30:f9:00:00:01  목적지 MAC주소 검색

ip.addr == 10.1.0.1  출발지나 목적지 IP주소로 검색

ip.src == 10.1.0.1  출발지 IP주소로 검색

tcp.port == 1470  TCP 출발지나 목적지 포트 번호로 검색

tcp.dstport == 1470  TCP 포트 목적지 포트 번호로 검색

tcp.srcport == 1470  TCP 포트 출발지 포트 번호로 검색

---

udp.port == 2000  UDP 출발지나 포트 목적지 포트 번호로 검색

udp.dstport == 2000  UDP 포트 목적지 포트 번호로 검색

udp.srcport == 2000  UDP 포트 출발지 포트 번호로 검색 

wlan.addr == 00:30:f9:00:00:01   무선랜 사용 시 출발지나 목적지 MAC 주소로 검색

wlan.sa ==  00:30:f9:00:00:01  무선랜 사용 시 출발지 MAC 주소로 검색

wlan.da ==  00:30:f9:00:00:01  무선랜 사용 시 목적지 MAC 주소로 검색

---

arp 트래픽 필터 : arp 입력

icmp 트래픽 필터 : icmp 입력

http 트래픽 내 jpg 파일 포함 필터 : http contains jpg

---

필터 예)

1. 코드레드 확인 : tcp contains default.ida

2. 님다 확인 : http contains cmd.exe

---

ip.src == 192.168.0.1 && ip.dst == 192.168.0.2  
&&를 and로 해도 됨
==를 eq로 해도 됨
||를 or로 해도 됨

---

http && (ip.src == 192.168.0.1 || ip.src == 192.168.0.2)
프로토콜이 http이고 출발지 아이피가 192.168.0.1 이거나 192.168.0.2 인 것 검색

---

해당 검색 기준을 제외하고 검색하려고 할 때
앞에! 붙여주면 부정 의미로 제외하고 검색이 됩니다.
!(ip.addr == 192.168.0.1)

---

이 필터는 계속 추가할 예정입니다.