Network Security DAY_016 와이어샤크 필터 사용법, WireShark filter , 와이어샤크 필터링, TCPDUMP 필터링, TCPDUMP , 와이어샤크 필터 옵션, 와이어샤크 필터 예시 , 네트워킹 해킹

2024. 2. 17. 18:51Information Security 정보보안/Network Security 네트워크 보안

728x90

배울 내용:

와이어샤크 필터 사용법

WireShark filter 

와이어샤크 필터링 

TCPDUMP 필터링

TCPDUMP

와이어샤크 필터 옵션

와이어샤크 필터 예시 

네트워킹 해킹 

 

 

 

 

 

 

 

 

지난시간에 와이어샤크 소개에 이어 이번 시간엔 사용법을 배울것이다

 

 

 

 

와이어샤크 소개는 아래의 링크로 가면 되고 이미 알고있으면 그냥 내리면 된다 

https://sarimus.tistory.com/70

 

Network Security DAY_015 와이어샤크 , WireShark , 패킷 스니핑 , packet sniffing , TCPDUMP , 패킷 리스트(packet l

배울 내용: 와이어샤크 WireShark 패킷 스니핑 packet sniffing TCPDUMP 패킷 리스트(packet list) 패킷 디테일(packet detail) 패킷 데이터(packet data) 리눅스 프로미스큐어스 모드 promiscuous mode MITM 공격 네트워킹

sarimus.tistory.com

 

 

와이어샤크 필터 (WireShark Filter)

 

 

쓰는이유 :  많은 패킷 중 찾고자 하는 특정한 부분만 찾을수있다 

 

 

사용법 : 

 

프로그래밍 하는사람이라면 익숙한 것들이다 

비교 연산자가 == 으로 !=  디스플레이 필터에 입력하면 특정한 

포트나 내용이나 특정부분을 내가 원하는데만 찾을수있다 

 

 

 

 

아래에는 주로 쓰이는 것들의 필터 이름이다 

 

 

 

사용예시 

 

 

 

 

 

그러면 한번 위에 나와있는 것들을 이용해서 찾아보자 

 

 

 

 

TCP 포트가 21 이거나 UDP 포트가 80 이거나 SYN 인것들만 뽑으면  

 

 

tcp.port == 21 || udp.port ==80 || tcp.flags.syn==1

 

01.IP주소
# ip.addr ==192.168.10.132  주소가 132 인것만 
# ip.src == 192.168.10.132 출발지 소스가 132 인것만 
# ip.dst == 192.168.10.132 도착지 가 132 인것만 



02. 포트

> tcp.port:  출발지 /목적지 
#tcp.port == 80

> tcp.srcport:  목적지 
#tcp. srcport == 80

> tcp.dstport: 목적지 
#tcp. dstport == 80

 

 


 

 

 

이러한 예시를 사용하여 특정 유형의 패킷을 필터링하여 원하는 정보를 추출하고 분석할 수 있다

 

 

추가적으로 문자열도 검색할수있는데

 

 

 

 


tcp contains "211" 하면 

 

Info 에 211 이 포함된 모든 tcp 패킷을 필터링해준다 

 

 

 

 

 

 

 

 

TCP Dump  

해당 인터페이스로 오고가는 모든 패킷

모든 패킷을 캡쳐 

#tcpdump -i eth0 

 

23번 포트를 캡쳐 
#tcpdump -i eth0 tcp port 23

 

출발지가 192.168.10.100 인걸 캡쳐 
#tcpdump -i eth0 src 192.168.10.100

 

 

 

 

모든 패킷을 캡쳐하면 (저장안할시) 

 

 

 

이런창이 뜨는걸 볼수있다

그러나 만약 저장 옵션을주면  저장되는대신 이런식으로 안보이게 된다 

 

 

 

 

저장옵션주기 

 

tcpdump -i eth0 -w  [이름.log]

 

한뒤에 새로운 kali 프롬프트창을열고 ftp 192.168.10.101 (centos서버) 연결해보면 

 

 

 

 

이렇게 Listening on eth0 만뜨지 

ftp 를 연결해도 아무런 정보 표시가 안된다 

 

 

그리고 그냥 Ctrl + C 를해서 저장하면 

 

 

 

이렇게 저장되는걸 볼수있고 이걸 열어서 보면 

 

 

 

 

 

이런식으로 패킷 기록이 나온게 보인다 

 

 

 

tcpdump -i eth0 -c 10 -n 해서 보면

이렇게 나오는데 

 

1 : 시간

2 : 출발지 IP 주소 포트

3 : 목적지 IP 주소 포트

4 : [S] 은 SYN

5 : [S.] 은 SYN, ACK 

6 : [P.] 은 PUSH , ACK 라는것이다 (ACK 는 점(. ) ) 

 

 

<옵션>

-c 10 : 10개만 저장
-n    : 서비스명을 숫자(IP/Port 번호)로 출력
-p    : Promiscuous Mode 해제
-v    : 상세히보여준다
-vv   : 더상세히 보여준다 

 

 

 

그외로 

 

host : 특정 호스트를 오고가는 모든 패킷 필터링 (출발/목적지)
#tcpdump -i eth0 host 192.168.10.150


[네트워크 대역 전부 캡쳐/출력]
tcpdump -i eth0 net 192.168.10.0/24

 

이런것 또한 가능하다 

 

 

 

728x90

'Information Security 정보보안 > Network Security 네트워크 보안' 카테고리의 다른 글

Network Security DAY_018 패킷분할공격, Ping of Death, Tear Drop, Smurf, syn flooding, 와이어샤크, wireshark, 네트워킹 해킹 , hping3, hping 스캐닝, 도스공격, DOS 공격  (1) 2024.02.18
Network Security DAY_017 자원고갈 공격 , DOS 공격하기 , 도스공격, DOS attack, syn flooding, udp flooding, 와이어샤크 , wireshark, 네트워킹 해킹, hping3, netstat, nmap  (2) 2024.02.18
Network Security DAY_015 와이어샤크 , WireShark , 패킷 스니핑 , packet sniffing , TCPDUMP , 패킷 리스트(packet list) ,패킷 디테일(packet detail) ,패킷 데이터(packet data) ,리눅스 프로미스큐어스 모드 ,promiscuous mo..  (1) 2024.02.07
Network Security DAY_014 Url Sniffing , URL 스니핑 , urlsnarf , Image sniffing , image 스니핑 , driftnet , 스니핑 , sniffing , 리눅스 프로미스큐어스 모드, promiscuous mode ,MITM 공격 , 네트워킹 해킹  (1) 2024.01.30
Network Security DAY_013 ettercap , 이더캡으로 공격 , DNS Spoofing , DNS 스푸핑 , setoolkit , 웹사이트 변조 , ARP Spoofing ,ARP 스푸핑 공격 , MITM 공격 ,중간자 공격 , 웹페이지 파싱공격 , 네트워킹 해킹  (0) 2024.01.29

관련글

티스토리툴바