# 실시간 캡쳐시 사용하는 구문
- http와 dns 패킷을 동시 캡쳐 ( tcp port 80 or udp port 53 )
- 목적지 IP주소가 10.10.10.10 이면서 telnet 패킷만 캡쳐 ( ip dst 10.10.10.10 and tcp port 23 )
- icmp ttl 에러만 캡쳐 ( icmp[0]=11 and icmp[1]=0 )
# 추척파일 분석시 사용하는 구문
- http와 dns 패킷을 동시 필터
=>http or dns
=>tcp.port==80 || udp.port==53
# 목적지 IP주소가 10.10.10.10 이면서 telnet 패킷만 필터
=>ip.dst==10.10.10.10 and telnet
=>ip.dst==10.10.10.10 && tcp.port=23
# icmp ttl 에러만 필터
=>icmp[0]==0b
# 디스플레이 필터에서 문자열 검색이 가능한 연산 구문
=>contains
frame contains "campus"
=>matches
# matches를 이용한 검색시 활용하는 특수기호
- 복수단어검색 |
- 와일드카드 1글자에서10자까지 표시 .{1,10}
-------------------------------------------------------------------------
#델타시간으로 필터링
frame.time_delta >= 1
Time Display Filter - Second Since Previous Packet Capture
-----------------------------------------
# TCP 델타시간으로 필터링
tcp.time_delta >= 0.1
컬럼추가 [Time since previous frame in this TCP stream: 0.329182000 seconds]
------------------------------------------------------------------------------------------------------
# IP 단편화된 데이타를 재조립을 위한 옵션이 활성화되어 있으면 패킷발생순서가 실제와 다르게 표시됩니다.
옵션을 비활성화를 통해 패킷순서검토를 수행
=>IPv4/Reassemble fragmented IPv4 datagrams
# HTTP 서버가 클라이언트 요청에 대해 응답코드를 패킷 안에 포함하고 요청된 파일 일부 내용을 포함한다면
와이어샤크는 응답코드를 표시하지 않습니다. 분석시 문제가 발생할 수 있기에 설정을 해제 옵션
=>Tcp/Allow subdissector to reassemble TCP streams
'Tech > WireShark' 카테고리의 다른 글
| WireShark [IP변조] http://bittwist.sourceforge.net (0) | 2021.05.21 |
|---|---|
| WireShark HTTPS [SSL/TLS] (0) | 2021.05.21 |
| WireShark [ 그래프 & Expert Info ] (0) | 2021.05.20 |
| WireShark ( 핵심 디스플레이 필터 버튼 생성 ) (0) | 2021.05.20 |
| WireShark (TCP 체크섬 오프로드) (0) | 2021.05.20 |
