와이어 샤크 사용법

oogu ㅣ 2022. 4. 17. 14:43

@ 와이어샤크 필터 예제-1

1. 와이어샤크 필터 명령어

 - 프로토콜 클릭 -> 해당 항목 클릭 -> 좌측 하단 ( ) 안에 필터 명령어가 출력됨

Ex) 필터 명령어

 - 출발지 TCP 포트 tcp.srcport
 - 목적지 TCP 포트 tcp.dstport
 - 출발지 UDP 포트 udp.srcport
 - 목적지 UDP  포트 udp.dstport
 - 출발지 IP 주소 ip.src
 - 목적지 IP 주소 ip.dst
 - 출발지 MAC 주소 eth.src
 - 목적지 MAC 주소 eth.dst
 - TCP Syn tcp.flags.syn
 - TCP Ack   tcp.flags.ack

 

2. 필터 관련 연산자

  && and
  || or
  ! not
  == eq
 ( )         클래스

 

3. 필터 예제

ip
ip.src == 172.16.5.254
ip.dst == 172.16.5.254

ip.src == 172.16.5.254 or ip.dst == 172.16.5.254 (요청/응답을 보겠다)
ip.addr == 172.16.5.254 출발지 IP 주소 or 목적지 IP 주소

tcp
tcp.srcport == 80 or tcp.dstport == 80
tcp.port == 80 출발지 TCP 포트 번호 or 목적지 TCP 포트 번호

udp
udp.srcport == 53 or udp.dstport == 53
udp.port == 53 출발지 UDP 포트 번호 or 목적지 UDP 포트 번호


ip.src == 172.16.5.254 && tcp
ip.src == 172.16.5.254 && tcp.srcport == 1980
ip.src == 172.16.5.254 && tcp.dstport == 80

ip.src == 172.16.5.254 && udp
ip.src == 172.16.5.254 && udp.dstport eq 53

ip.src == 172.16.5.254 && ip.dst == 114.111.46.227 && tcp.flags == 0x02
ip.src == 114.111.46.227 && ip.dst == 172.16.5.254 && tcp.flags == 0x12
ip.src == 172.16.5.254 && ip.dst == 114.111.46.227 && tcp.flags == 0x10
ip.src == 172.16.5.254 && ip.dst == 114.111.46.227 && tcp.flags == 0x10 && tcp.seq == 1 && tcp.ack == 1
-> 3-way 핸드쉐이킹 3번째 과정만 본다.

!arp
ip.addr == 172.16.5.254 && ip && !arp && !tcp && !udp 


icmp
icmp.type eq 8 echo
icmp.type eq 0 echo -reply


eth
eth.src eq 00:00:0c:92:ab:2c
eth.dst == 00:e0:4c:14:62:ba
eth.src eq 00:00:0c:92:ab:2c or eth.dst eq 00:13:60:31:81:b1
eth.src eq 00:00:0c:92:ab:2c and eth.dst eq 00:e0:4c:14:62:ba
eth.dst eq ff:ff:ff:ff:ff:ff

arp
arp.src.hw_mac == 00:07:70:a1:3c:02
arp.dst.hw_mac == 00:e0:4c:14:62:ba

http
http.host eq lm3.cafe.naver.com

 

 

@ 와이어샤크 필터 예제-2
 
PC---------------------------------------------서버
192.168.1.254 192.168.1.201
70:85:C2:0A:E8:F6  00:0C:29:56:7F:11

Ex1) '192.168.1.201' ARP 요청 및 응답 내용 필터

 1) ARP 요청 메세지


 2) ARP 응답 메세지




Ex2) '192.168.1.201' TCP 3-Way 핸드 쉐이킹 & HTTP(TCP 80) 내용 필터

PC---------------------------------------------서버
192.168.1.254 192.168.1.201

Syn(0x02) ->
seq 0
                                           <- Syn+Ack(0x12)
                                                seq 0, ack 1
Ack(0x10) ->
seq 1, ack 1






Ex3) '192.168.1.201' TCP 3-Way 핸드 쉐이킹 및 FTP(TCP 21) 내용 필터

PC---------------------------------------------서버
192.168.1.254 192.168.1.201

Syn(0x02) ->
seq 0
                                             <- Syn+Ack(0x12)
                                              seq 0, ack 1
Ack(0x10) ->
seq 1, ack 1





Ex4) '192.168.1.201' TCP 3-Way 핸드 쉐이킹 & Telnet(TCP 23) 내용 필터

PC---------------------------------------------서버
192.168.1.254 192.168.1.201

Syn(0x02) ->
seq 0
                                           <- Syn+Ack(0x12)
                                             seq 0, ack 1
Ack(0x10) ->
seq 1, ack 1







Ex5) '192.168.1.201' ICMP Echo-Request, ICMP Echo-Reply 내용 필터

PC---------------------------------------------서버
192.168.1.254 192.168.1.201

ICMP Echo-Request              ICMP Echo-Reply
----------------------->      <-----------------------
SA 192.168.1.254                 SA 192.168.1.201
DA 192.168.1.201                DA 192.168.1.254




Ex6) '168.126.63.1'으로 'www.naver.com에 대한 DNS 요청 및 응답 내용 필터

PC---------------------------------------------서버
192.168.1.254                                 168.126.63.1




 

@ 와이어샤크 필터 예제-3

PC---------------------------------------------서버
192.168.10.72 192.168.10.201
A8-A1-59-24-3C-FA xx:xx:xx:xx:xx:xx

Ex1) '192.168.10.201' ARP 요청/응답 캡처 및 필터

PC>arp -d
PC>ping 192.168.10.201






Ex2) '192.168.10.201' HTTP 및 TCP 3-Way 핸드 쉐이킹 캡처 및 필터

웹-브라우저 -> http://192.168.10.201





Ex3) '192.168.10.201' FTP 및 TCP 3-Way 핸드 쉐이킹 캡처 및 필터

PC>ftp 192.168.10.201 ID/PW -> user01/user01 종료 -> quit







Ex4) '192.168.10.201' Telnet 및 TCP 3-Way 핸드 쉐이킹 캡처 및 필터

PC>telnet 192.168.10.201 ID/PW -> user01/user01 종료 -> exit





Ex5) '192.168.10.201' ICMP Echo-Request, ICMP Echo-Reply 캡처 및 필터

PC>ping 192.168.10.201











Ex6) '168.126.63.1'으로 'www.naver.com에 대한 DNS 요청/응답 내용 캡처 및 필터

PC---------------------------------------------서버
192.168.10.72 168.126.63.1

PC>nslookup www.naver.com







Ex7) 다음 사이트에 접속하여 로그인을 실시한다. (user1/test1234)

http://www.kiwonmath.com/web/member/login.php

 - ID/PASSWORD 문자열 검색
 - filter : 공백 -> 엔터
 - [Ctrl + F] -> String 체크 -> Search In : Packet bytes -> user1 또는 test1234 입력 -> Find 클릭





'네트워크' 카테고리의 다른 글

서브넷팅 & IP 주소 (2)  (0) 2022.04.18
IP 주소 특징(1)  (0) 2022.04.17
네트워크 실습, 데이터 전송 프로토콜  (0) 2022.04.16
네트워크 주소 체계  (0) 2022.04.13
네트워크 및 네트워크 구성 요소  (0) 2022.04.12