와이어샤크를 활용해 네트워크 장애를 진단하거나 특정 패킷을 추적할 때 유용한 필터 식들을 정리했습니다.
1. TCP 연결 상태 분석 (Handshake & Flags)
TCP 연결의 시작과 끝, 그리고 상태를 확인할 때 유용합니다.
SYN 패킷만 추출 (연결 요청):
tcp.flags.syn == 1 && tcp.flags.ack == 0SYN 패킷 추출 (16진수 표현):
tcp.flags == 0x002재전송(Retransmission) 발생 확인:
tcp.analysis.retransmission중복 ACK(Duplicate ACK) 확인:
tcp.analysis.duplicate_ack
2. IP 및 포트 결합 필터 (논리 연산)
특정 IP 주소와 서비스 포트를 조합하여 원하는 트래픽만 정밀하게 필터링합니다.
특정 IP에서 출발하여 DNS(53) 또는 HTTP(80)로 가는 트래픽:
ip.src == 10.60.114.61 && (udp.dstport == 53 || tcp.dstport == 80)특정 대역(Subnet) 제외하기:
!(ip.addr == 10.60.114.0/24)Tip: 특정 IP 대역에서 발생하는 노이즈를 제거할 때 매우 유용합니다.
3. 프로토콜별 상세 분석 (DNS, HTTP, ARP)
| 구분 | 필터 식 | 설명 |
| DNS | dns.count.answers >= 5 | 응답 결과가 5개 이상인 복잡한 DNS 응답 확인 |
| DNS | dns.qry.name == "korea.kr" | 특정 도메인에 대한 질의 패킷 확인 |
| DNS | dns.flags == 0x0100 | DNS Standard Query(질의) 패킷만 확인 |
| HTTP | http.response.code == 404 | 웹 페이지를 찾을 수 없는(Not Found) 에러 확인 |
| HTTP | http.request.method == GET | 데이터 요청(GET) 메소드 확인 |
| ARP | arp.opcode == 1 | ARP Request(요청) 확인 (2는 Reply) |
4. 고급 분석: IO Graphs 활용하기
단순히 패킷을 보는 것을 넘어, 통계 데이터를 엑셀로 추출하여 리포트를 작성할 때 사용합니다.
경로: Menu > Statistics > IO Graphs
Duplicate ACK 추이 확인:
+버튼 클릭 후 필터에tcp.analysis.duplicate_ack입력재전송(Retransmission) 확인:
+버튼 클릭 후 필터에tcp.analysis.retransmission입력Sequence Number 변화: Y축 설정을
SUM, 필터에tcp.seq입력응답 시간(RTT) 분석:
필터:
tcp.analysis.ack_rttY축:
MAX설정 후 데이터를 복사하여 엑셀에서 합계 및 평균 산출
지연 시간(Delta Time) 분석:
필터:
frame.time_delta(또는tcp.time_delta)Y축:
MAX설정
5. TCP 스트림 그래프 (Throughput)
네트워크의 대역폭 활용 효율을 시각적으로 확인할 수 있습니다.
경로:
Menu > Statistics > TCP Stream Graphs > Throughput단축키: 그래프 창에서 숫자
1, 2, 3, 4를 누르면 그래프 타입(Throughput, Round Trip Time 등)이 바로 변경됩니다.
💡 한라봉의 한마디: > 필터 식을 작성할 때 대소문자를 구분하니 주의하세요!
IP가 아니라ip,TCP가 아니라tcp로 소문자를 사용하는 것이 기본입니다.
도움이 되셨다면 공감과 댓글 부탁드립니다! ㅎㅎ
댓글 없음:
댓글 쓰기