ி 화면 필터
IP
출발지 ip.src == 192.168.0.2 목적지 ip.dst == 192.168.0.2 양방향 ip.addr == 192.168.0.2MAC을 검색하려면 ip를 eth로 바꾼다.
Port
출발지 tcp.srcport == 1900 목적지 tcp.dstport == 1900 양방향 tcp.port == 1900udp는 udp.port로 입력한다.
프로토콜
icmp - icmp만 보여준다. not icmp - icmp를 제외한 모든 패킷을 보여준다. !arp && !ssdp - arp와 ssdp를 제외한 모든 패킷을 보여준다. tcp contains traffic - 'traffic' 단어를 포함하는 TCP 패킷 출력not과 !의 기능은 동일하며 제외한다는 의미로 쓴다.
선택적 필터
① 패킷 지정 패킷 정보(ip,port 등)에 우클릭하여
Apply as Filter > Selected를 적용시키면 해당 정보를 가진 패킷만 보여준다. ② Analyze -> Display Filters평소에 사용되는 패킷 필터 목록을 보여준다.
ி 패킷 찾기
Ctrl + F를 누르면 display filter창 밑에 바가 생성된다.첫 번째 메뉴
① Packet list - 화면상에 보이는 패킷에서만 검색한다. ② Packet details - 패킷안에 세부내용까지 검색한다. ③ Packet bytes - 바이트로 검색한다. 2번메뉴에서 안나오는 정보는 인코딩됬을 확률이 있으므로 3번으로 검색해본다.
예를들어 파일 업로드하는 패킷을 찾고자할 때 "jsp"를 검색하는데 우회기법을 이용하여
"js%70" 처럼 되있으면 3번으로 찾아야한다.
ி 컬러링 마크
중요정보를 구분할 때 주로 사용하는
Mark는 Ctrl + M으로 해당 패킷에 강조 표시를 한다.
➽ View > Coloring Rules(현재 설정된 컬러링을 확인한다.)
ி 상태 요약 기능(Statistics)
프로토콜 사용 통계
두 호스트 사이의 트래픽 통계
I/O Graphs
IOGraphs - 데이터 처리량을 그래프로 보여주며 ,
DDOS 공격과 같은 비정상 트래픽 발생 여부를 확인할 수 있다.
웹 패킷 정보 통계
HTTP Packet Counter - 상태코드 확인
HTTP Requests - 요청 목록 확인
(아래 사진에선 안보이지만 Burst Start 열을 누르면 Requests를 순서대로 나열한다)
IP/Port 통계
IPv4 Statistics > Destinations and Ports - 포트 사용 통계
도메인 통계
Resolved Addresses - 패킷에서 발견된 호스트나 서비스명을 보여준다.
ி Follow TCP Stream
이 기능을 이용하여 웹 페이지에 접속 정보나 사진 , 파일 전송 정보등을 확인할 수 있다.
만약 html 코드 분석이 힘들면 html로 저장해서 화면에 어떻게 표시되는지 확인하자.
트래픽 구분
B(목적지) → A(발신지) - 파란색
인쇄 할 수 없는 문자는 점(.)으로 대체된다.
➽ 패킷 마우스 우클릭 > Follow TCP Stream
ி Export Objects
HTTP Objects
HTTP 통신 패킷을 단계적으로 분리시켜 객체로 보여준다.
네트워크를 통해 전달된 파일을 확인하고 추출할 수 있는데,
위 사진에서는 맨 마지막 객체를 보니 npp7.5.7(notepad++)를 다운로드한 사실을 확인할 수 있다.
객체 항목을 누르면 해당 패킷이 있는 위치로 이동한다.
➽ File > Export Objects > HTTP
Export Specified Packets
Range - 특정 범위 패킷 저장
'네트워크' 카테고리의 다른 글
| 패킷 트레이서 ACL(Access Control List) (0) | 2019.09.21 |
|---|---|
| 윈도우에 snort 설치 및 룰 추가 (3) | 2019.09.19 |
| VMware 네트워크 구조 (0) | 2019.06.09 |
| 망분리 유형 (0) | 2019.04.24 |
| OAuth (0) | 2018.04.19 |
