2019/12/03

페어라인 테니스 무선 WiFi 카메라 패킷 필터 정리.

와이어샤크 필터 정리

host 203.247.40.197 : IPv4 네트워크 주소 기반
host 2001:db8:85a3::8a2e:370:7334 : IPv6 네트워크 주소 기반
host testserver2 : 호스트 이름 기반
ether host 00-1a-a0-52-e2-a0 : MAC 주소 기반

특정 호스트에서 오는 트래픽만 캡처 하기 위해 src 사용
src host 203.247.40.197

의심스러운 호스트를 목적지로 한 서버로 떠나는 데이터만 캡처 하기 위해 dst 사용
dst host 203.247.40.197

type 한정자를 사용하지 않을 경우 host 한정자로 가정
dst 203.247.40.197
한정자의 종류 : host, net, port

서비스 포트를 사용해 서비스와 애플리케이션을 기반으로 필터링 하기 위해 사용
port 8080 : 8080 포트에 있는 트래픽만 캡처
!port 8080 : 8080 포트에 있는 것만 제외하고 캡처

웹 서버로 가는 트래픽만을 챕처하려면 dst 한정자 사용
dst port 80 : 80 포트에서 리스닝하는 웹 서버로 가는 트래픽만 캡처

특정 프로토콜을 기반으로 필터링 할 수 있음
정의되지 않은 비응용 계층 프로토콜을 일치 할 때 사용
icmp : ICMP 트래픽만을 보고 싶을 때 사용
!ip6 : IPv6 트래픽을 제외한 모든 트래픽을 사용

고급 필터를 사용하면 특정한 위치에서 시작하는 패킷으로 부터 특정한 바이트들을 검색 가능

icmp[0] == 3  :  목적지 도달 불가능 메시지를 나타내는 ICMP 패킷만 캡처

icmp[0] ==8 || icmp[0] == 0  :  에코 요청이나 에코 회신을 나타내는 ICMP 패킷만 캡처

icmp[0:2] == 0x0301  :  식별되는 모든 ICMP 목적지 도달불가능, 호스트 도달 불가능 패킷을 캡처

tcp[13] & 4 == 4  :  RST 플래그를 설정을 가진 TCP 패킷만 캡처

tcp[13] & 8 == 8  :  PSH 플래그를 설정을 가진 모든 패킷을 캡처


패킷 분석의 성공과 실패는 적절한 필터를 만드는 능력
tcp[13] & 32 == 32 URG 플래그 설정을 가진 TCP 패킷
tcp[13] & 16 == 16 ACK 플래그 설정을 가진 TCP 패킷
tcp[13] & 8 == 8 PSH 플래그 설정을 가진 TCP 패킷
tcp[13] & 4 == 4 RST 플래그 설정을 가진 TCP 패킷
tcp[13] & 2 == 2 SYN 플래그 설정을 가진 TCP 패킷
tcp[13] & 1 == 1 FIN 플래그 설정을 가진 TCP 패킷
tcp[13] == 18 TCP SYN-ACK 패킷
ether host 00:00:00:00:00:00 (MAC으로 대체) MAC 주소로 가거나 오는 트래픽
ether host 00:00:00:00:00:00 (MAC으로 대체) MAC 주소로 가지 않거나 오지 않는 트래픽
Broadcast 브로드캐스트 트래픽만
icmp ICMP 트래픽
Icmp[0:2] == 0x0301 ICMP 목적지 도달 불가능, 호스트 도달 불가능
Ip IPv4 트래픽만

Expert info (download-slow.pcap)
각 프로토콜에 대한 정밀 분석기는 해당 프로토콜을 사용해 패킷 내의 특정 상태를 사용자에게 경고하는데 사용될 수 있는 Expert info 정의
Analyze > expert Info

Expert info의 4가지 상태
Chat : 통신에 대한 기본 정보
Note : 정상 통신의 일부가 되는 비정상 패킷
Warning : 대부분이 정상 통신의 일부가 아닌 비정상 패킷
Error : 패킷이나 정밀 분석기 해석에서의 오류

Error, Warnings 등의 탭에서 ‘(  )’의 숫자는 해당 카테고리에서   발생하는 항목의 합계
‘(  )’ 밖의 숫자는 고유의 메시지 양

Chat 메시지
- Window Update
- 수신자에 의해 TCP 수신 창의 크기가 변경됐다는 것을 송신자에게 알림

Note 메시지
- TCP Retransmission (재전송)
패킷 손실 결과로, 중복 ACK를 수신하거나 패킷의 재전송 타이머가 만료될 때 발생

- Duplicate ACK(복제, 동기화 포맷 한쪽에 표를 맞추는 형식
호스트가 예상되는 다음 순서 번호를 받지 못할 때 마지막으로 수신한 데이터의 중복 ACK를 생성

- Zero Window Probe
제로 윈도우 패킷이 전송된 후 TCP 수신창의 상태를 모니터링

- Keep Alive ACK(살아서 유지)
keep-alive 패킷에 대한 응답으로 보냄

Zero Window Probe ACK
- zero-window-probe 패킷에 대한 응답으로 보냄

Window is Full
- 수신자의 TCP 수신 창이 가득 찼음을 송신하는 호스트에게 알리기 위해 사용

Warning 메시지
Previous Segment Lost(이전 세그먼트 손실)
- 패킷 손실을 표시
- 데이터 스트림에서 예상되는 순서 번호가 생략됐을 때 발생

ACKed Lost Packet
ACK 패킷을 볼 수 있지만 승인된 패킷이 아닐 때 발생

Keep Alive
연결 keep-alive 패킷이 보일 때 발생

Zero Window
TCP 수신 창의 크기에 도달하고 제로 윈도우가 전송을 마칠 경우 송신자에게 데이터 전송을 중지하도록 요청

Out-of-Order
패킷이 잘못된 순서 번호를 수신할 경우 순서 번호를 탐지하기 위해 사용

Fast Retransmission
중복 ACK가 발생하면 20밀리초 이내에 재전송

상대적인 숫자 > 일련번호 표시 변경 방법

edit > preferences -> progocols -> tcp
Realtive sequence number 체크 해제

댓글 없음:

댓글 쓰기