@ 와이어샤크 필터 예제-1
1. 와이어샤크 필터 명령어
- 프로토콜 클릭 -> 해당 항목 클릭 -> 좌측 하단 ( ) 안에 필터 명령어가 출력됨
Ex) 필터 명령어
- 출발지 TCP 포트 tcp.srcport
- 목적지 TCP 포트 tcp.dstport
- 출발지 UDP 포트 udp.srcport
- 목적지 UDP 포트 udp.dstport
- 출발지 IP 주소 ip.src
- 목적지 IP 주소 ip.dst
- 출발지 MAC 주소 eth.src
- 목적지 MAC 주소 eth.dst
- TCP Syn tcp.flags.syn
- TCP Ack tcp.flags.ack
2. 필터 관련 연산자
&& and
|| or
! not
== eq
( ) 클래스
3. 필터 예제
ip
ip.src == 172.16.5.254
ip.dst == 172.16.5.254
ip.src == 172.16.5.254 or ip.dst == 172.16.5.254 (요청/응답을 보겠다)
ip.addr == 172.16.5.254 출발지 IP 주소 or 목적지 IP 주소
tcp
tcp.srcport == 80 or tcp.dstport == 80
tcp.port == 80 출발지 TCP 포트 번호 or 목적지 TCP 포트 번호
udp
udp.srcport == 53 or udp.dstport == 53
udp.port == 53 출발지 UDP 포트 번호 or 목적지 UDP 포트 번호
ip.src == 172.16.5.254 && tcp
ip.src == 172.16.5.254 && tcp.srcport == 1980
ip.src == 172.16.5.254 && tcp.dstport == 80
ip.src == 172.16.5.254 && udp
ip.src == 172.16.5.254 && udp.dstport eq 53
ip.src == 172.16.5.254 && ip.dst == 114.111.46.227 && tcp.flags == 0x02
ip.src == 114.111.46.227 && ip.dst == 172.16.5.254 && tcp.flags == 0x12
ip.src == 172.16.5.254 && ip.dst == 114.111.46.227 && tcp.flags == 0x10
ip.src == 172.16.5.254 && ip.dst == 114.111.46.227 && tcp.flags == 0x10 && tcp.seq == 1 && tcp.ack == 1
-> 3-way 핸드쉐이킹 3번째 과정만 본다.
!arp
ip.addr == 172.16.5.254 && ip && !arp && !tcp && !udp
icmp
icmp.type eq 8 echo
icmp.type eq 0 echo -reply
eth
eth.src eq 00:00:0c:92:ab:2c
eth.dst == 00:e0:4c:14:62:ba
eth.src eq 00:00:0c:92:ab:2c or eth.dst eq 00:13:60:31:81:b1
eth.src eq 00:00:0c:92:ab:2c and eth.dst eq 00:e0:4c:14:62:ba
eth.dst eq ff:ff:ff:ff:ff:ff
arp
arp.src.hw_mac == 00:07:70:a1:3c:02
arp.dst.hw_mac == 00:e0:4c:14:62:ba
http
http.host eq lm3.cafe.naver.com
@ 와이어샤크 필터 예제-2
PC---------------------------------------------서버
192.168.1.254 192.168.1.201
70:85:C2:0A:E8:F6 00:0C:29:56:7F:11
Ex1) '192.168.1.201' ARP 요청 및 응답 내용 필터
1) ARP 요청 메세지
2) ARP 응답 메세지
Ex2) '192.168.1.201' TCP 3-Way 핸드 쉐이킹 & HTTP(TCP 80) 내용 필터
PC---------------------------------------------서버
192.168.1.254 192.168.1.201
Syn(0x02) ->
seq 0
<- Syn+Ack(0x12)
seq 0, ack 1
Ack(0x10) ->
seq 1, ack 1
Ex3) '192.168.1.201' TCP 3-Way 핸드 쉐이킹 및 FTP(TCP 21) 내용 필터
PC---------------------------------------------서버
192.168.1.254 192.168.1.201
Syn(0x02) ->
seq 0
<- Syn+Ack(0x12)
seq 0, ack 1
Ack(0x10) ->
seq 1, ack 1
Ex4) '192.168.1.201' TCP 3-Way 핸드 쉐이킹 & Telnet(TCP 23) 내용 필터
PC---------------------------------------------서버
192.168.1.254 192.168.1.201
Syn(0x02) ->
seq 0
<- Syn+Ack(0x12)
seq 0, ack 1
Ack(0x10) ->
seq 1, ack 1
Ex5) '192.168.1.201' ICMP Echo-Request, ICMP Echo-Reply 내용 필터
PC---------------------------------------------서버
192.168.1.254 192.168.1.201
ICMP Echo-Request ICMP Echo-Reply
-----------------------> <-----------------------
SA 192.168.1.254 SA 192.168.1.201
DA 192.168.1.201 DA 192.168.1.254
Ex6) '168.126.63.1'으로 'www.naver.com에 대한 DNS 요청 및 응답 내용 필터
PC---------------------------------------------서버
192.168.1.254 168.126.63.1
@ 와이어샤크 필터 예제-3
PC---------------------------------------------서버
192.168.10.72 192.168.10.201
A8-A1-59-24-3C-FA xx:xx:xx:xx:xx:xx
Ex1) '192.168.10.201' ARP 요청/응답 캡처 및 필터
PC>arp -d
PC>ping 192.168.10.201
Ex2) '192.168.10.201' HTTP 및 TCP 3-Way 핸드 쉐이킹 캡처 및 필터
웹-브라우저 -> http://192.168.10.201
Ex3) '192.168.10.201' FTP 및 TCP 3-Way 핸드 쉐이킹 캡처 및 필터
PC>ftp 192.168.10.201 ID/PW -> user01/user01 종료 -> quit
Ex4) '192.168.10.201' Telnet 및 TCP 3-Way 핸드 쉐이킹 캡처 및 필터
PC>telnet 192.168.10.201 ID/PW -> user01/user01 종료 -> exit
Ex5) '192.168.10.201' ICMP Echo-Request, ICMP Echo-Reply 캡처 및 필터
PC>ping 192.168.10.201
Ex6) '168.126.63.1'으로 'www.naver.com에 대한 DNS 요청/응답 내용 캡처 및 필터
PC---------------------------------------------서버
192.168.10.72 168.126.63.1
PC>nslookup www.naver.com
Ex7) 다음 사이트에 접속하여 로그인을 실시한다. (user1/test1234)
http://www.kiwonmath.com/web/member/login.php
- ID/PASSWORD 문자열 검색
- filter : 공백 -> 엔터
- [Ctrl + F] -> String 체크 -> Search In : Packet bytes -> user1 또는 test1234 입력 -> Find 클릭
'네트워크' 카테고리의 다른 글
서브넷팅 & IP 주소 (2) (0) | 2022.04.18 |
---|---|
IP 주소 특징(1) (0) | 2022.04.17 |
네트워크 실습, 데이터 전송 프로토콜 (0) | 2022.04.16 |
네트워크 주소 체계 (0) | 2022.04.13 |
네트워크 및 네트워크 구성 요소 (0) | 2022.04.12 |