Wireshark 기초 사용법 및 필터 설정 가이드

1. 기본 인터페이스 구성 요소

  • 패킷 캡처 시작: 캡처 > 옵션에서 네트워크 인터페이스, 필터 조건, 출력 파일 등을 설정 후 시작 버튼 클릭
  • 출력 설정: 캡처된 데이터를 저장할 파일 경로 및 자동 중단 조건 지정 가능
  • 도구 모음: 자주 사용하는 작업(필터 적용, 탐색, 프린트 등)을 빠르게 실행할 수 있는 툴바
  • 데이터 패킷 표시 심볼: 색상 코드와 마킹 기호를 통해 패킷의 상태(예: 오류, 재전송, 연결 종료 등)를 시각적으로 확인

2. 화면 설정 및 커스터마이징

  • 시간 표기 형식: 뷰 > 시간 표시 형식에서 절대 시간, 상대 시간, 특정 패킷 기준 상대 시간으로 전환 가능
  • 확대/축소: 확대/축소 버튼으로 보기 영역 조절, 원래 크기로 복원 가능
  • 열 관리: 필요 없는 열은 숨기거나 삭제하고, 필요한 정보(예: 소스/목적지 주소, 프로토콜 등)를 추가하여 표시
  • 네임 리졸루션: MAC 주소, IP, 포트 번호를 이름으로 변환해 가독성을 높이나, 대량 데이터 처리 시 성능 저하 우려 → 신중히 사용

3. 패킷 조작 및 분석 도구

  • 패킷 마킹: 관심 있는 패킷에 라벨을 붙여 추후에 쉽게 찾을 수 있도록 함
  • 세션 색상 지정: 특정 트래픽 세션에 대해 일시적 또는 지속적인 색상 규칙 적용 가능
  • 파일 병합: 여러 캡처 파일을 하나로 통합하여 분석
  • 출력 및 인쇄: 선택한 패킷 또는 전체 로그를 문서화하거나 프린트 가능

4. 전반적인 설정 (선호 사항)

  • 기본 파일 위치 변경: 최근 사용한 파일 경로가 아니라 원하는 디렉터리로 초기화
  • 인터페이스 레이아웃 맞춤: 창 배치, 탭 위치, 메뉴 구조를 개인 취향에 맞게 조정
  • 캡처 설정 수정: 캡처 동안 사용되는 파라미터 재설정
  • 네임 리졸루션 설정 고정: 임시 설정이 아닌 지속 가능한 옵션으로 저장

5. 캡처 옵션 세부 설정

  • 인터페이스 및 캡처 드라이버 설정: 사용할 네트워크 카드 및 드라이버 선택
  • 출력 파일 설정: 저장 형식(.pcap, .pcapng), 크기 제한, 자동 유지 보수 기능 설정
  • 네임 리졸루션 및 자동 중단 조건: 정해진 시간, 크기, 패킷 수 기준으로 캡처 자동 종료

6. 캡처 필터 설정 (BPF 기반)

사전에 불필요한 패킷을 제외하고 캡처 효율성 향상

  • 지원 프로토콜: ether, ip, tcp, udp, arp, wlan, icmp, ip6
  • 주소 유형: host, src, dst, net (예: net 192.168.0.0/24)
  • 포트 범위: portrange 6000-8000
  • 논리 연산자: and, or, not 또는 &&, ||, !
  • 특수 표현: broadcast, multicast, gateway, less, greater

예시 필터

src or dst portrange 6000-8000 and (tcp or ip6)
src host 192.168.1.1 and dst port 80
host 192.168.1.1 or host 192.168.1.2
not broadcast
ether src host 00:00:5e:00:53:00
port 80
arp
icmp
tcp src port 22
tcp dst portrange 21-23

공식 문서 참고: Capture Filters, pcap-filter 설명서

7. 표시 필터 설정 (분석용)

이미 캡처된 패킷 중에서 특정 조건에 맞는 것만 필터링하여 표시

  • 강력한 기능: 복잡한 조건, 내부 필드 접근 가능
  • 문법 구성: 비교 연산자(=, !=, <, >), 논리 연산자(and, or, not) 활용
  • 프로토콜 및 방향 지정: tcp.flags.syn == 1, ip.dst == 192.168.1.1

필터 예제

tcp.flags.syn == 1
http.host contains "example.com"
dns.qry.name contains "google"
ip.src == 10.0.0.1
udp.length > 100

공식 예시: Display Filters

8. 고급 분석 기능

  • 스트림 추적: 선택한 패킷 기준으로 TCP, UDP, HTTP 등의 스트림을 재구성하여 데이터 흐름 분석
  • 전문가 정보 (Expert Info): 네트워크 안정성, 이상 징후(예: 재전송, 과도한 타임아웃)를 자동으로 진단
  • 통계 요약: 전체 트래픽의 개요(총 패킷 수, 속도, 프로토콜 분포 등) 제공
  • 프로토콜별 비율 분석: 각 프로토콜이 전체 트래픽에서 차지하는 비율 시각화
  • 세션 및 노드 통계:
    • 세션 (Session): 소스 ↔ 목적지 간 통신량(패킷 수, 바이트 수) 집계
    • 노드 (Node): 단일 호스트(이더넷 주소 또는 IP)의 입/출력 통계
  • IO 그래프: 실시간 네트워크 대역폭 사용량 시각화, 트래픽 패턴 파악에 유용

태그: wireshark packet capture BPF filter display filter network analysis

5월 25일 14:00에 게시됨

인기 태그

©2026 괴물 클럽