주요 필터링

and(&&), or(||), 괄호묶음 연산자 사용 가능

패킷 오른쪽 클릭후 나오는 메뉴에서 Follow TCP Stream 을 기능을 사용하면 해당 TCP 세션이 패킷만 보여줌

• 프로토콜명
  • ip, tcp, http, ftp, arp, dns 등 프로토콜명을 입력하면 해당 프로토콜을 사용한 패킷만 필터링해서 보여준다.
  • '.' 을 입력하면 해당 프로토콜의 헤더로 필터링 할 수 있다.
  • ex) tcp.port == 80, tcp.flags.syn == 1
• frame contains "문자열"
  • "문자열"을 포함하고 있는 패킷을 보여준다.
  • ex) frame contains "GET /index.html HTTP/1.1"
• ip.addr
  • 패킷의 IP주소로 필터링한다.
  • ex) ip.addr == 10.10.10.1
• ip.src / ip.dst
  • 패킷의 발신지나 수신지 IP주소로 필터링 한다
  • ex) ip.src == 10.10.10.1
• tcp.port
  • 패킷의 포트번호로 필터링 한다.
  • ex) tcp.port == 80
• tcp.srcport / tcp.dstport
  • 패킷의 발신포트, 수신포트로 필터링한다.
  • ex) tcp.srcport == 80
• tcp.analysis.retransmission tcp.analysis.fast_retransmission tcp.analysis.rto
  • TCP에서 재전송이 발생한 패킷만 필터링해서 보여준다.
  • retransmission은 재전송 전체
  • fast_retransmission은 중복ACK에 의한 빠른 재전송
  • rto는 재전송 타임아웃에 의한 재전송을 의미
  • ex) tcp.analysis.retransmission
• tcp.analysis.duplicate_ack
  • 중복 ACK인 패킷만 필터링한다.
  • ex) tcp.analysis.duplicate_ack
• tcp.analysis.window_full tcp.analysis.zero_window tcp.analysis.zero_window_probe tcp.analysis.zero_window_probe_ack
  • TCP 수신 윈도우의 상태변화와 관련된 패킷을 분석해서 보여준다.
• tcp.analysis.keep_alive tcp.analysis.keep_alive_ack
  • TCP Keepalive와 관련된 패킷을 필터링한다.
• http.request
  • HTTP 요청 패킷을 필터링한다.
• http.response http.response.code
  • HTTP 응답을 필터링한다.
  • ex) http.response, http.response.cpde == 304
• http.set_cookie http.cookie
  • HTTP 요청/응답 중 쿠키정보로 필터링 한다.
  • ex) http.set_cookie contains "MM_NEW", http.cookie contains "JSESSIONID"
• http.connection
  • HTTP 1.1 부터 지원하는 Connection 헤더로 필터링한다.
  • ex) http.connection == "close"