태스크바의 Capture -> Options 을 클릭하면 아래와 같은 창이 나온다.
단축키 Ctrl + K 를 눌러도 된다.
패킷 캡쳐중에는 실행되지 않는다.
Capture Filter 클릭후
아래와 같은 창이 나오면
New를 눌러서
Capture Filter 조건을 추가할 수 있다.
Filter name은 아무거나 본인이 넣고 싶은걸 넣으면 되고,
Filter string 부분에 조건을 넣는다.
ether host 00:40:5a:4d:fb:fa and ether host 00:30:0d:27:76:1f
위의 조건은 mac 주소 ... 와 ... 끼리 주고 받은 패킷만 캡쳐 하는 조건이다.
capture 필터링은 display 필터링과 다르게 파일을 만들 때 하는 필터링이기 때문에
자신이 필요한 패킷만 받아서 파일을 만들어 파일용량을 줄일 수 있다.
용량이 큰 파일은 display 필터를 할때 많은 시간이 요구된다.
capture filter 와 display filter를 잘 사용하면 적은 시간으로 큰 효과를 얻을 수 있다.
장시간 동안 패킷을 캡쳐하기위한 옵션 설정
Capture File(s) 부분의 Use Multiple files 를 활성화 한다.
그리고 File 의 Browe...를 클릭해서 저장할 폴더를 설정한다.
+ Browse for other folders를 클릭
Next file every 옵션은 설정된 용량이 초과되면 다음 파일을 생성한다.
캡쳐되는 패킷에 따라 설정된 용량의 파일이 계속해서 생성된다.
Next file every 옵션은 설정된 시간으로 파일을 생성한다.
지정된 시간이 지나면 파일용량에 상관없이 새로운 파일이 생성된다.
Ring buffer with 옵션은 설정된 파일 갯수 만큼 파일을 생성하고
추가적으로 파일이 생성되면 제일 처음에 만들어졌던 파일에 덮어 쓰기된다.
Stop capture after 옵션은 설정된 파일 갯수 만큼 파일이 생성되면 캡쳐를 멈춘다.
'IT, PC > WireShark' 카테고리의 다른 글
| Wireshark Display filter 조건들 (0) | 2011.02.17 |
|---|---|
| Wireshark 창에서 직접 Display Filtering 방법 (0) | 2011.02.16 |
| Wireshark 필터 설정방법 Capture filter / Display filter (1) | 2011.02.16 |
| 패킷을 훔쳐보자 WireShark packet sniffing tool (0) | 2011.01.28 |
댓글