공부한 내용 정리하는 공간입니다.
틀린 내용이 있을 수 있습니다.
모든 지적, 첨언 환영합니다.
캡처 필터 (Capture Filter)
캡처 시작 전 설정
수집 제한
'캡처 - 캡처 필터' 에서 필터 추가, 제거
논리 연산 가능
IP 주소, 문자 주소, MAC 주소, 포트번호 등 지정 가능
필터를 좁게 설정하면 놓치는 패킷이 발생할 수 있어서 범위로 지정하는 것이 신뢰도가 더 높음
| host 10.3.1.1 | 송/수신지 IP 주소가 10.3.1.1인 트래픽 수집 |
| not host 10.3.1.1 | 송/수신지 IP 주소가 10.3.1.1인 트래픽 수집 제외 |
| src host 10.3.1.1 or dst host 10.3.1.1 | 송신지 IP 주소가 10.3.1.1 또는 수신지 IP 주소가 10.3.1.1인 트래픽 수집 |
| broadcast | 브로드캐스트 트래픽 수집 |
| dst host ff02::1 | IPv6 멀티캐스트 트래픽 수집 |
| ether host 00:08:15:00:08:15 | 송/수신지 MAC 주소가 00:08:15:00:08:15인 트래픽 수집 |
| port 53 | 포트번호가 53인 트래픽 수집 (DNS) |
| portrange 1-80 | 포트번호가 1~80인 트래픽 수집 |
| tcp portrange 1-80 | 포트번호가 1~80인 트래픽 중에 tcp 수집 |
캡처 자동화
'캡처-옵션'에서 자동화 수집 설정 가능
자동화 조건 (패킷 수, 크기, 시간) 선택
여러개 조건을 선택하면 하나라도 달성되면 캡쳐 진행, 종료
디스플레이 필터 (Display Filter)
캡처 진행 중, 완료된 상태에서 설정
'필드명 연산자 값' 구조
>필드명은 상세정보에서 원하는 내용을 클릭하면 하단 표시줄에서 확인 가능
>( ) 안이 필드명
논리 연산 가능
IP 주소, 문자 주소, MAC 주소, 포트번호 등 지정 가능
| ip.addr==10.3.1.1 | 송/수신지 IP 주소가 10.3.1.1인 트래픽 |
| !ip.addr== 10.3.1.1 | 송/수신지 IP 주소가 10.3.1.1인 트래픽 제외 |
| ip.src==10.3.1.1 && ip.dst==10.3.1.1 | 송신지 IP 주소가 10.3.1.1 그리고 수신지 IP 주소가 10.3.1.1인 트래픽 |
상세정보 내용으로 필터링 가능
>필터로 적용 : 바로 적용
>필터로 준비 : 필터창에 작성, 내용 수정 가능
필터 적용한 채로 '파일-지정한 패킷 내보내기'하면 필터링된 패킷만 저장
플로 그래프 (Flow Graph)
'통계' 에서 확인
캡처한 패킷을 시각화
PDF로 내보내기 가능
플로 유형으로 필터링 가능
대화 (Conversation)
'통계' 에서 확인
어떤 주소랑 몇 개의 패킷, 바이트를 통신했는지 확인 가능
각 값으로 정렬, 필터링 가능
IP탭에는 정보가 많은데 Ethernet탭에는 정보가 적을 경우 → 내부망 통신보다 외부망 통신이 많음
>외부망 통신에서는 MAC 주소는 게이트웨이 MAC 주소로 동일함
프로토콜 계층 통계 (Protocol Hierarchy Statistics)
'통계' 에서 확인
패킷 데이터를 비율로 확인 가능
'클라우드기반 스마트 융합보안 과정 > Network' 카테고리의 다른 글
| [Network] Foot-printing, Port Scan, Open Scan, TCP Scan, UDP Scan, Stealth Scan, Half Open Scan, FIN Scan, Xmas Scan, Null Scan (1) | 2025.02.06 |
|---|---|
| [Network] 암호화, Symmetric Key, Public Key, Private Key, Hash, SSL, TLS, PKI, 인증서 (0) | 2025.02.05 |
| [Network] Ethernet Frame, ARP, ARP Cache Table (0) | 2025.02.05 |
| [Network] IP Header, TTL, ICMP (0) | 2025.02.04 |
| [Network] 단편화, MTU, MSS (0) | 2025.02.04 |