캡쳐 필터 - 수집하기 전부터 조건을 둬 수집을 제한 - 지정된 표현식에 포함 / 제외된 패킷만 캡쳐 캡쳐필터 방법 1캡쳐필터 방법 2
캡쳐 필터 입력 방법 -> 예시 - 특정 IP 주소에서 오는 트래픽 수집 ① host 10.3.1.1 -> 해당 ip주소 송/수신지 구분 없이 수집 ② scr host 10.3.1.1 -> 해당 ip주소가 송신지 일때만 수집 ③ dst host 10.3.1.1 -> 해당 ip주소가 수신지 일때만 수집 ④ not host 10.3.1.1 -> 해당 ip주소 제외하고 수집
- 특정 IP 주소범위에서 오는 트래픽 수집 ① net 10.3.1.0/16 -> 해당 대역에 속하면 송/수신지 구분 없이 수집 -> net10.3.1.0 mask 255.255.0.0 같은 의미 ② scrnet10.3.1.0/16-> 해당대역에 속하고 송신지 일때만 수집 ③ dstnet10.3.1.0/16->해당 대역에 속하고 수신지 일때만 수집 ④ notnet10.3.1.0/16->해당 대역에 속하지 않으면 수집
- broadcast or multicast 트래픽 수집 ① broadcast ② multicast
- MAC 주소 기반의 트래픽 수집 ① ether host 00:08:15:00:08:15 -> 해당 MAC 주소 송/수신지 구분 없이 수집 ② etherscr00:08:15:00:08:15->해당 MAC 주소가 송신지 일때만 수집 ③ etherdst00:08:15:00:08:15->해당 MAC주소가 수신지 일때만 수집 ④ notetherhost00:08:15:00:08:15->해당 MAC주소 제외하고 수집
- 특정 애플리케이션에 대한 트래픽 수집 -> port (프로토콜의 포토 번호)
파일로 자동화 수집 - Capture Options > Output Tab > Create a new file automatically after… -Capture Options > Output Tab > Stop a new file automatically after…
디스플레이 필터 - 수집된 패킷에 대해 조건을 줌
디스플레이 필터 입력 방법 - 입력 창이 빨간색이면 필터에 오류가 있다는 의미이고 반대로 초록색이면 오류가 없다는 의미 - 대소문자를 구분함 - 연산자 - 캡쳐 필터 구문과 비교 예시 - 작성 Tip : "Apply as Fliter" & "Prepare as Fliter" -> 캡쳐된 패킷리스트에서 내가 관심있는 종류의 프로토콜이나 필드를 포함하고 있는 패킷을 선택하여 오른쪽마우스를 클릭하면"Apply as Fliter" 와 "Prepareas Fliter"가 있음 -> "Prepareas Fliter > Selected"를 클릭하면 해당 패킷의 내용이 디스플레이 필터 입력창에 입력되고 수정이 필요한 부분이 있다면 수정하여 필터링하면 됨 -> " Prepareas Fliter > Not Selected"를 클릭하면 해당 패킷의 내용을 제외한 내용이 디스플레이 필터 입력창에 입력 -> "Apply as Fliter"는 "Prepareas Fliter"에서 enter기능이 추가 된 느낌이라서 내가 원하는 조건과 완전히 일치할때 사용 패킷 리스트 오른쪽 마우스 클릭 시 나오는 창
