지난번 Wireshark 사용법과 Wireshark사용팁-1에 이은 2탄 ^^
이 기능도 꽤나 자주 사용되는 팁이다.
네트워크 패킷을 잡다보면 내가 원하는 패킷만 봐야 패킷이 어떻게 오고 가는지 이해하기가 쉽니다.
이때 필요한 것이 필터기능이다. 필터에는 2가지가 있는데 Display Filter와 Capture Filter가 있다.
Display filter는 패킷을 다 잡고 원하는 패킷만 filtering해서 보여주는 것이고, Capture Filter는 패킷을 잡을때 필터링을 해서 패킷을 잡는것이다.
이것이 Display Filter인데 만약 IP address가 192.168.0.1로 오고가는 패킷만 보고 싶으면 이것을 사용하면 된다.
아래 그림처럼 이 필터의 이름은 “IP address 192.168.0.1″이고 Filter string은 “ip.addr == 192.168.0.1″인데, 이름이야 어찌 됐든 이 Filter string이 중요하다. 즉 아래 보이는 형태대로 필터를 구성을 해야지 Wireshark가 알아먹는다.
좀 특이한 것은 이 Display Filer와 Capture filter의 Filter string이 다르므로 서로 혼용해서 사용할 수 가 없다.
즉 같은 필터 이름이지만 Capture Filter의 경우는 IP 192.168.0.1로 오고가는 패킷만 잡으려면 “host 192.168.0.1” 이라고 명기를 해야 제대로 동작을 한다.
만약 Capture Filter란에 Display Filter의 형식을 쓰면 다음과 같은 에러메시지를 표시한다.
친절하게도 왜 틀린지까지 보여주네..
That string looks like a valid display filter; however, it isn’t a valid capture filter (syntax error).