728x90
반응형
Display Filter 개요
- 캡처된 패킷 중 원하는 패킷을 필터링 및 검색하기 위해 사용
- 연산, 프로토콜, 텍스트 등 다양한 방법으로 패킷 필터링 가능
Display Filter 값 비교
| English | C-like | Description |
| eq | == | 동일함 |
| ne | != | 동일하지 않음 |
| gt | > | 큼 |
| lt | < | 작음 |
| ge | >= | 크거나 같음 |
| le | <= | 작거나 같음 |
| contains | 프로토콜, 필드 또는 슬라이드에 포함된 값 | |
| matches | ~ | 정규식과 매칭되는 프로토콜 또는 필드 |
Display Filter 결합 표현
| English | C-like | Description |
| and | && | AND 연산 |
| or | || | OR 연산 |
| xor | ^^ | XOR 연산 |
| not | ! | NOT 연산 |
Display Filter 기능
| Function | Description |
| upper | 문자열을 대문자로 변환하여 필터링 |
| lower | 문자열을 소문자로 변환하여 필터링 |
| len | 문자열 또는 바이트 필드의 바이트 길이를 반환 |
| count | 프레임에서 필드 발생 횟수를 반환 |
| string | 문자열이 아닌 필드를 문자열로 변환 (숫자를 문자로) |
Display Filter 예시
IPv4 address
ip.addr == 192.168.0.1
ip.src == 192.168.0.1
ip.dst == 192.168.0.1
ip.addr == 192.168.0.0/16
Ethernet address
eth.dst == ff:ff:ff:ff:ff:ff
eth.dst == ff-ff-ff-ff-ff-ff
eth.dst == ffff.ffff.ffff
Boolean (tcp flag)
tcp.flags.syn == 1
Unsigned integer
ip.len le 1500
ip.len le 02734
ip.len le 0x5dc
Text string
http.request.uri == "https://www.wireshark.org/"
Date and time
frame.time == "Sep 26, 2004 23:18:04.954975"
ntp.xmt ge "2020-07-04 12:34:56"
frame.time < "2022-01-01"
tcp port
tcp.port in {80, 443, 8080}
tcp.port == 80 || tcp.port == 443 || tcp.port == 8080
upper, lower
lower(http.server) contains "apache"
len
len(http.request.uri) > 100
count
count(ip.addr) > 2
728x90
'*Tool > [ WS ] Wireshark' 카테고리의 다른 글
| [WS - 02] Capture Filter (0) | 2022.02.21 |
|---|---|
| [WS - 01] Wireshark (0) | 2022.02.21 |