와이어샤크 필터링 (1) 필터링 수집 법

[필터의 종류]

아래의 필터링 시작 시 나오는 초록색 책갈피의 (펼치면 기존에 입력된 필터링이 나오기도 하고 

사용자가 입력해서 추가로 매크로처럼 만들어낼 수도 있다. )

 

Enter a capture Filter는 말 그대로 '수집 필터'이다. 즉, 여기서 걸러지는 건 

아예 수집이 되지 않으므로 '1차 필터링'이고

 

위의 display filter는 말 그대로 '보여주는 필터'이다. 

 

이제 알 수 있는 건, 부하를 줄이기 위해 수집 필터를 너무 크게 해버리면 

디스플레이 필터에서 보이지조차 않기 때문에 2차로 거를 수가 없다. 

 

그러므로 주로 수집하는데 부하가 너무 크지 않다면 

디스플레이 필터로 조절하는 편이 좋다. 소스 자체가 수집되지 않는게

수집 필터이기 때문이다. 

 

또한 둘은 문법이 다르다. 수집 필터는 BPF를 따르고, 디스플레이 필터는

와이어샤크의 방식을 따른다. 

 

[공식 필터 내용]

 

wiki.wireshark.org/CaptureFilters 참조

https://wiki.wireshark.org/CaptureFilters

CaptureFilters - The Wireshark Wiki

가장 대중적으로 많이 쓰이는        "수집 필터"	일반	IPV6
host 1.2.3.4	1.2.3.4 로 가는 / 오는 트래픽의 수집	IPV6 표현식 : host aaaa:bbbb:cccc::dddd::eeee:ffff
not host 1.2.3.4	1.2.3.4 를 '제외한' 가는/ 오는 트래픽 수집
src host 1.2.3.4	1.2.3.4 에서 '오는' 트래픽 수집
dst host 1.2.3.4	1.2.3.4 로 '가는' 트래픽 수집
host 1.2.3.4 or host 5.6.7.8	1.2.3.4 나 5.6.7.8의 모든 트래픽 수집
host DNS 주소	DNS 로 맵핑된 주소의 모든 트래픽 수집
ip broadcast	풀 레인지 브로드 캐스팅 255.255.255.255의 모든 트래픽 수집

특정 포트나 프로토콜 타겟    "수집 필터"	일반	활용
port 1004	port 1004에서 오는 TCP/UDP 수집	특정 어플리케이션에서 특정 목적으로 사용하는 (ex: 파일업로드) 패킷 분석 시
not port 1004	port 1004 제외 모든 TCP/UDP 수집	// 제외하고 보고 싶을 때
port 1004 or port 2004	or 연산으로 TCP/UDP 수집
host 1.2.3.4 and port 1004	1.2.3.4 로 가고 오는 특정 포트 1004의 모든 트래픽 수집	반대는 앞에 not을 붙이면 된다. ex) not host , not port
port 80	TCP/UDP에서 HTTP 프로토콜 트래픽 수집	http->https 전환 시 테스트할 수 있음
tcp/udp port 1004	TCP/UDP 하나만 택해서 해당 포트의 트래픽 수집
portrange 1-1004	지정한 범위 내에서 TCP/UDP 수집	특정 어플리케이션에서 보통 일괄적으로 특정 레인지를 정해서 쓰는데  특정 어플의 모든 트래픽을 보고자할 때 쓴다.
tcp/udp portrange 1-1004	위의 내용에서 TCP/UDP만 개별 수집

 

[디스플레이 필터]