와이어샤크 필터

와이어샤크에서는 이더넷 프레임의 분석을 위해 두 종류의 필터가 제공되는데,

애플리케이션상에 표시되는 프레임을 제한함으로써 필터링 기능을 제공하는 디스플레이 필터와 실제 네트워크 레벨에서 부하를 줄여주기 위해 캡처링되는 프레임을 제한함으로써 필터링 기능을 제공하는 캡처 필터가 있다.

캡처 시점에 상관없이 적용 가능한 디스플레이 필터의 경우,

애플리케이션 상단에 위치한 디스플레이 필터 입력부에 원하는 필터 문법을 입력하면 된다.

필터링 조건은 기본적으로 아래와 같이 괄호와 관계연산자를 사용하여 구현하며, 캡처 필터와 달리 '.' , '=='와 같은 연산자를 사용하여 필터의 로직을 서술한다.

(ip.addr==192.168.1.1||ip.addr==192.168.1.2) && not tcp && (udp.port==2000||arp||icmp)

 

이와는 달리 캡처 시작 전에 반드시 설정해야 하는 캡처 필터의 경우,

애플리케이션 첫 시작화면에 위치한 입력부에 필터를 입력한 후, 캡쳐링을 시작하게 되므로 캡처 중에는 변경이 불가능하다.

not tcp and src net 192.168.1.0/24

필터링 조건은  'and' 'not' 등을 사용하여 다중 조건을 명시 할 수 있다.