liminfo

Wireshark Reference

Wireshark 패킷 분석 레퍼런스

39개 결과

Wireshark Reference 소개

Wireshark 필터 레퍼런스는 업계 표준 네트워크 프로토콜 분석기인 Wireshark에서 가장 자주 사용되는 필터와 명령어를 다루는 검색 가능한 빠른 참조입니다. 캡처필터(패킷 캡처 전에 적용되는 host, net, port, 프로토콜, MAC 주소, 제외 필터의 BPF 구문), 디스플레이필터(이미 캡처된 패킷을 ip.addr, tcp.port, HTTP 메서드, TCP 플래그, 프레임 크기, DNS 쿼리, 재전송, 응답 코드로 필터링하는 Wireshark 전용 구문), 프로토콜(tcp, udp, http, tls, dns, arp 필터), 통계(대화, 프로토콜 계층, 엔드포인트, IO 그래프, 플로우 그래프), 내보내기(HTTP 객체 추출, 패킷 분석 내보내기, TCP/UDP 스트림 추적, 필터링된 패킷 저장), tshark(캡처, 읽기, 필터링, 필드 추출, 통계를 위한 CLI)의 6개 카테고리로 구성되어 있습니다.

Wireshark는 네트워크 문제 해결, 보안 분석, 프로토콜 개발에 필수적입니다. 네트워크 엔지니어는 캡처 필터로 장시간 캡처 시 디스크에 저장되는 트래픽 양을 줄이고, 디스플레이 필터로 캡처 후 특정 대화, 프로토콜, 오류 조건에 집중하여 분석합니다. 보안 분석가는 디스플레이 필터로 의심스러운 DNS 쿼리 격리, 네트워크 문제를 나타내는 TCP 재전송 탐지, HTTP 오류 응답 필터링, 완전한 TCP 스트림 추적을 통한 애플리케이션 계층 대화 재구성을 수행합니다. 통계 기능은 트래픽 패턴, 상위 통신자, 프로토콜 분포의 고수준 뷰를 제공합니다.

이 레퍼런스는 헤드리스 서버, 자동화 스크립팅, 대용량 캡처 파일 처리에 필수적인 Wireshark의 CLI 버전인 tshark도 다룹니다. 인터페이스 캡처(-i), 파일 읽기(-r), 디스플레이 필터 적용(-Y), 캡처 필터 적용(-f), 필드 추출(-T fields -e), 파일 쓰기(-w), 통계 생성(-z)을 위한 tshark 명령어가 실용적인 예제와 함께 모두 포함되어 있습니다. 모든 콘텐츠는 즉시 검색, 카테고리 필터링, 다크 모드 지원과 함께 브라우저에서 클라이언트 사이드로 실행됩니다.

주요 기능

  • 캡처 필터 레퍼런스: host, net, port, src/dst, 프로토콜, MAC 주소, NOT 제외 필터의 BPF 구문
  • 디스플레이 필터 레퍼런스: ip.addr, tcp.port, HTTP 메서드, TCP 플래그(SYN/ACK), frame.len, dns.qry.name, 재전송, 응답 코드
  • TCP, UDP, HTTP, TLS/SSL, DNS, ARP용 프로토콜별 필터와 결합 필터 표현식
  • 통계 메뉴 레퍼런스: 트래픽 분석을 위한 대화, 프로토콜 계층, 엔드포인트, IO 그래프, 플로우 그래프
  • 내보내기 작업: HTTP 객체 추출, CSV/JSON/XML 패킷 분석 내보내기, TCP/UDP 스트림 추적, 필터링된 패킷 저장
  • 완전한 tshark CLI 레퍼런스: 캡처(-i), 읽기(-r), 디스플레이 필터(-Y), 캡처 필터(-f), 필드 추출(-T fields -e), 통계(-z)
  • 실제 네트워크 분석 시나리오를 위한 필터 조합을 보여주는 실용적인 예제
  • 서버 처리 없이 모든 Wireshark 명령어를 즉시 검색 및 카테고리 필터링

자주 묻는 질문

Wireshark에서 캡처 필터와 디스플레이 필터의 차이점은 무엇인가요?

캡처 필터는 BPF(Berkeley Packet Filter) 구문을 사용하며 패킷이 캡처되기 전에 적용되어 디스크에 저장되는 데이터 양을 줄입니다. 예: host 192.168.1.1, port 80, tcp. 디스플레이 필터는 Wireshark 전용 구문을 사용하며 이미 캡처된 패킷에 적용됩니다. 예: ip.addr == 192.168.1.100, tcp.port == 8080. 캡처 필터는 캡처 시작 후 변경할 수 없지만, 디스플레이 필터는 분석 중 언제든지 수정할 수 있습니다.

Wireshark에서 TCP 재전송을 어떻게 필터링하나요?

tcp.analysis.retransmission 디스플레이 필터를 사용하여 Wireshark가 재전송으로 식별한 모든 TCP 패킷을 표시합니다. 네트워크 성능 문제 진단에 필수적입니다. tcp.analysis.retransmission && ip.addr == 10.0.0.1처럼 다른 필터와 결합하여 특정 호스트의 재전송을 확인할 수 있습니다. Wireshark는 TCP 스트림 분석을 자동으로 수행하고 시퀀스 번호 추적을 기반으로 재전송된 세그먼트를 표시합니다.

Wireshark에서 TCP 스트림을 어떻게 추적하나요?

조사하려는 TCP 연결에 속하는 패킷을 마우스 오른쪽 클릭하고 Follow > TCP Stream을 선택합니다. Wireshark가 해당 대화의 패킷만 표시하는 디스플레이 필터를 적용하고, 재조립된 전체 TCP 데이터를 보여주는 창을 엽니다. 클라이언트 데이터와 서버 데이터가 다른 색상으로 표시됩니다. HTTP 대화 재구성, 프로토콜 교환 조사, 데이터 유출 조사에 매우 유용합니다.

이 레퍼런스에서 어떤 tshark 명령어를 다루나요?

가장 필수적인 tshark 명령어를 다룹니다: 네트워크 인터페이스에서 실시간 캡처를 위한 tshark -i, pcap 파일 읽기를 위한 tshark -r, 디스플레이 필터 적용을 위한 tshark -Y, 캡처 필터를 위한 tshark -f, 특정 프로토콜 필드 추출을 위한 tshark -T fields -e(ip.src, ip.dst, tcp.port 등), 파일로 캡처 출력을 위한 tshark -w, 대화 요약 및 IO 통계 같은 통계 생성을 위한 tshark -z입니다.

특정 도메인의 DNS 쿼리를 어떻게 필터링하나요?

dns.qry.name contains "example.com" 디스플레이 필터로 해당 도메인명을 포함하는 모든 DNS 쿼리를 표시합니다. 정확한 매칭은 dns.qry.name == "example.com"을 사용합니다. DNS 응답만 보려면 dns.flags.response == 1과 결합합니다. 실패한 조회는 dns.flags.rcode != 0으로 필터링합니다. 이 필터들은 DNS 터널링, 도메인 생성 알고리즘(DGA), 알려진 악성 도메인 연결을 탐지하는 보안 분석에 유용합니다.

HTTP로 전송된 파일을 어떻게 추출하나요?

File > Export Objects > HTTP로 이동합니다. Wireshark가 캡처에서 HTTP를 통해 전송된 모든 파일 목록을 파일명, 호스트명, 콘텐츠 유형, 크기와 함께 표시합니다. 개별 파일 또는 전체 파일을 한 번에 저장할 수 있습니다. Wireshark가 TCP 스트림을 재조립하고 HTTP 콘텐츠를 파싱하기 때문에 이 기능이 작동합니다. HTTPS 트래픽의 경우 먼저 트래픽을 복호화하기 위한 TLS 세션 키가 필요합니다.

여러 디스플레이 필터를 조합할 수 있나요?

네. &&(AND)로 여러 조건을 모두 요구합니다: ip.addr == 192.168.1.1 && tcp.port == 80. ||(OR)로 대안을 지정합니다: http.response.code == 404 || http.response.code == 500. ! 또는 !(expression)으로 부정합니다: !(ip.addr == 192.168.1.1). 괄호로 우선순위를 제어합니다: (tcp.port == 80 || tcp.port == 443) && ip.src == 10.0.0.1.

이 레퍼런스 사용 시 데이터가 서버로 전송되나요?

아닙니다. 전체 Wireshark 필터 레퍼런스는 페이지에 내장되어 완전히 클라이언트 사이드로 렌더링됩니다. 카테고리별 필터링, 검색, 탐색 모두 JavaScript로 브라우저 내에서만 이루어집니다. 패킷 데이터, 필터 표현식, 검색 쿼리가 어떤 서버로도 전송되지 않습니다.