본문 바로가기

wireshark5

Wireshark Display filter 조건들 display 필터 조건들 display 필터링은 capture 필터링과 달리 아래와 같이 아주 detail하게 필터링이 가능하다. Filter: (wlan.fc.type_subtype == 0x0a || wlan.fc.type_subtype == 0x01 || wlan.fc.type_subtype == 0x00) && wlan.addr contains 00:30:0d && wlan.addr == 00:40:5a:4d:fb:fa && wlan.fcs_good==true (disassoc || assoc response || assoc request) && pc들_mac && ap_mac && 깨지지않는 패킷 맥주소에 00:30:0d 를 포함하는 pc들과 지정된 ap간에서 주고 받는 패킷 중에 disass.. 2011. 2. 17.
Wireshark Capture Filtering 방법 태스크바의 Capture -> Options 을 클릭하면 아래와 같은 창이 나온다. 단축키 Ctrl + K 를 눌러도 된다. 패킷 캡쳐중에는 실행되지 않는다. Capture Filter 클릭후 아래와 같은 창이 나오면 New를 눌러서 Capture Filter 조건을 추가할 수 있다. Filter name은 아무거나 본인이 넣고 싶은걸 넣으면 되고, Filter string 부분에 조건을 넣는다. ether host 00:40:5a:4d:fb:fa and ether host 00:30:0d:27:76:1f 위의 조건은 mac 주소 ... 와 ... 끼리 주고 받은 패킷만 캡쳐 하는 조건이다. capture 필터링은 display 필터링과 다르게 파일을 만들 때 하는 필터링이기 때문에 자신이 필요한 패킷만.. 2011. 2. 16.
Wireshark 창에서 직접 Display Filtering 방법 Filter 부분에 직접 입력할 수 있지만 창에서 추가할 수 도 있다. 원하는 패킷에서 아래 창에서와 같이 패킷의 타입 부분에 마우스 오른쪽 키를 누르면 필터에 직접 추가할 수 있다. 아래 창에서는 0x00 의 Association Request 패킷을 필터링 하기 위해 추가했다. 필터에 추가 후 테스크바 쪽에 Filter: wlan.fc.type_subtype == 0x00 이 추가 된것을 확인할 수 있다. 필터링 된 패킷들의 Info에 보면 대부분 Association Request 인 것이 확인된다. 2011. 2. 16.
Wireshark 필터 설정방법 Capture filter / Display filter Wireshark을 별다른 설정 없이 기본값으로 실행시켰을 때 가장 문제가 될 수 있는 것은, 화면에 너무 많은 정보들이 나타나서 원하는 정보를 찾기가 쉽지 않다는데 있습니다. 과유불급. 이것이 바로 필터가 중요한 이유입니다. 필터는 방대한 로그 중에서 원하는 데이터를 찾는데 도움을 줄 것입니다. - - 로그에 기록되는 데이터를 선택하기 위해 사용합니다. 이 필터는 캡쳐가 시작되기 전에 정의됩니다. 캡쳐된 로그에서 데이터를 찾을 때 사용합니다. 데이터가 캡쳐되는 동안 수정할 수 있습니다.capture 필터나 display 필터를 사용하는 것이 좋을까요? 이 두 가지 필터의 목적은 서로 다릅니다. capture 필터는 로그의 사이즈가 불필요하게 커지는 것을 막기 위해 사용됩니다. display 필터는 ca.. 2011. 2. 16.
패킷을 훔쳐보자 WireShark packet sniffing tool 날아다니는 패킷을 볼 수 있는 프로그램 WireShark 간혹 패킷을 암호화해서 날리지 않는 웹서버나 메신저의 대화나 id, password를 볼 수가 있다. 안철수 연구소에서 wireshark에 대한 설명을 해뒀다. 참고 http://core.ahnlab.com/156 홈피에서 OS에 따라 다운가능 - 무료 http://www.wireshark.org/download.html 2011. 1. 28.