Wireshark에서 IP로 필터링하는 방법

https://linuxhint.com/filter_by_ip_wireshark/

How to Filter By IP in Wireshark

 

Wireshark 란 무엇인가요?

Wireshark는 네트워킹 패킷 캡처 및 분석 도구입니다. 해당 도구는 오픈 소스 입니다. 다양한 네트워킹 도구들이 존재하지만, Wireshark는 그 중 가장 강력한 도구 중 하나입니다. Wireshark는 Windows, Linux, MAC 등 운영 체제에서도 실행할 수 있습니다.

 

Wireshark는 어떻게 생겼나요?

여기 Windows10의 Wireshark 버전 2.6.3 사진입니다. Wireshark GUI는 Wireshark 버전에 따라 다를 수 있습니다.

Wireshark 내 필터 문자열 적용 될 위치가 어딜까요?

Wireshark에서 디스플레이 필터를 넣을 수 있는 표시된 위치(marked place)를 살펴 봅니다.

 

Wireshark에 IP 주소 Display filter를 어떻게 입력하나요?

디스플레이 IP 필터를 사용하는 다양한 방법이 존재 합니다.

 

 

1.소스 IP 주소:

 

당신이 특정 소스 IP 소스 주소에 대한 패킷에 관심이 있다고 가정합시다. 그렇다면 디스플레이 필터를 다음과 같이 사용할 수 있습니다.

ip.src == X.X.X.X => ip.src == 192.168.1.199

 

그런 다음 디스플레이 필터를 적용 하려면 Enter 또는 적용(apply)을 눌러야 합니다.

 

다음 사진에서 시나리오를 확인하세요

 

2.목적지 IP 주소:

당신이 만약 특정 IP 주소를 목적지로 하는 패킷에 관심이 있다고 합시다. 그렇다면 아래와 같이 표시 필터(display filter)를 사용할 수 있습니다.

ip.dst == X.X.X.X => ip.dst == 192.168.1.199

 

그 다음으로 디스플레이 필터를 적용 하려면 Enter 또는 적용(apply)을 눌러야 합니다.

 

다음 사진에서 시나리오를 확인하세요

3. IP 주소만:

 

당신이 특정 IP 주소를 가진 패킷만 관심이 있다고 가정합니다. 해당 IP 주소는 원본 또는 대상 IP 주소입니다. 그러면 아래와 같이 디스플레이 필터를 사용할 수 있습니다.

ip.addr == X.X.X.X => ip.adr == 192.168.1.199

 

그런 다음 디스플레이 필터가 적용되기 위해서는 Enter 키를 누르거나 apply [일부 이전 Wireshark 버전의 경우]를 적용해야 합니다.

 

시나리오는 아래 사진을 확인하세요

따라서 필터 란에 "ip.addr == 192.168.1.199"로 입력하면 Wireshark는 소스 IP == 192.168.1.199 또는 대상 IP == 192.168.1.199인 모든 패킷을 표시합니다.

 

또 다른 방법으로 아래와 같이 필터를 작성합니다.

ip.src == 192.168.1.199 || ip.dst == 192.168.1.199

 

위의 디스플레이 필터는 아래 스크린샷을 참조하십시오.

노트:

1. 필터를 입력할 때 디스플레이 필터 배경이 녹색인지 확인하십시오. 그렇지 않을 경우 필터 값이 유효하지 않은 것입니다.

다음은 유효한 필터의 스크린샷입니다.

 

아래는 유효하지 않은 필터에 대한 스크린샷은 다음과 같습니다.

 

2. 논리적 조건에 따라 여러 IP 필터링을 적용할 수 있습니다. [ || , && ]

OR 조건:

 

(ip.src == 192.168.1.199 ) || ( ip.dst == 192.168.1.199)

AND 조건:

 

(ip.src == 192.168.1.199) && (ip.dst == 192.168.1.1)

 

 

Wireshark에 IP 주소 캡처 필터를 넣는 방법이 있습니까?

 

Wireshark에 캡처 필터를 넣으려면 아래 스크린샷을 따르십시오.

노트:

디스플레이 필터 캡처 필터와 마찬가지로 배경이 녹색이면 유효한 것으로 간주됩니다.

디스플레이 필터구문은 캡처 필터 구문과는 다르다는 것을 기억하십시오.

유효한 캡처 필터 구문이 무엇인지는 아래 링크를 참조 하십시오.

 

https://wiki.wireshark.org/CaptureFilters

 

캡처 필터와 디스플레이 필터는 어떤 관계를 가질까요?

 

캡처 필터가 설정된 경우 Wireshark는 캡처 필터와 일치하는 패킷을 캡처합니다.

 

예를 들어:

캡처 필터는 아래와 같이 설정되고 Wireshark가 시작됩니다.

host 192.168.1.199

 

 

Wireshark가 중지 시킨 후에는 전체 캡처에서 목적지 혹은 출발지가 192.168.1.199인 패킷만 볼 수 있을 것입니다. Wireshark는 소스 또는 대상 IP가 192.168.1.199가 아닌 다른 패킷을 캡처하지 않았습니다. 이제 디스플레이 필터로 가 봅시다. 캡처가 완료되면 디스플레이 필터로 필터링 된 내용으로 패킷을 필터링할 수 있습니다.

 

 

이것을 다른 방식으로 설명 해 본다면. 사과와 망고 두 종류의 과일을 구입하라는 요청을 받았다고 가정해 보겠습니다. 여기서 캡처 필터는 망고와 사과입니다. 망고[다양한 종류]와 사과[녹색, 빨간색 등]를 보고서 보고 있는 여러 종류의 사과 중에서 녹색 사과만 사고 싶을 것입니다. 녹색 사과는 우리의 디스플레이 필터가 됩니다. 그리곤 이 과일들 중 오렌지를 보여달라고 하면 오렌지를 사지 않았기 때문에 보여줄 수 없을 것입니다. 모든 종류의 과일을 샀다면 [캡쳐 필터를 넣지 않았다는 의미] 오렌지를 보여줄 수 있었을 것입니다.

 

이상.