티스토리 뷰

4. "Filter Expression" 다이얼로그 박스

당신이 Ethereal의 필터링 시스템에 익슥해지고 당신의 필터들에서 당신이 무슨 라벨들을 사용하기를 원하는지를 안다면, 필터 문자열을 간단하게 타이핑하는 것은 빨리 될 수 있을 것이다. 그러나, 만약 당신이 Ethereal을 처음 사용하거나 다소 익숙치 않은 프로토콜을 가지고 작업을 항다면, 무엇을 타이핑해야할지를 알기 위해서 시도하는 것은 아주 복잡할 것이다. Filter Expression 다이얼로그 박스는 이러한 점을 도와준다.

 Tip!

"Filter Expression" 다이얼로그 박스는 Ethereal 디스플레이 필터 문자열을 어떻게 작성하는지를 배우기 위한 우수한 방법이다.


그림 6.7. "Filter Expression" 다이얼로그 박스

사용자 삽입 이미지


당신이 처음 Filter Expression 다이얼로그 박스를 호출할때, 당신은 프로토콜로 조직된 필드 이름들의 트리 목록과 관계 선택을 위한 박스를 보게 될 것이다.


Field Name

프로토콜 필드 트리로부터 프로토콜 필드를 선택하라. 필터링가능한 필드들을 가진 모든 프로토콜이 탑 레벨로 목록화 되어 있다. 프로토콜 이름 옆의 "+"를 클릭함으로써 당신은 그 프로토콜에 대해 가능한 필드 이름들의 목록을 얻을 수 있다.


Relation

가능한 관계의 목록으로부터 관계를 선택하라. is present는 단일 관계이다. 만약 선택된 필드가 패킷에 존재하면 true이다. 모든 다른 목록화된 관계들은 완성하기 위해서 추가적인 데이터(예로써,비교하기 위한 값)를 요구하는 이진 관계들이다.


당신이 필트 이름 목록으로부터 필드를 선택하고 이진 관계(동등 관계 ==와 같은)를 선택할 때, 당신은 값과 어쩌면 일부 범위 정보를 입력해야 할 것이다.


Value

당신은  Value 텍스트 박스안에 적절한 값을 입력해야 할 것이다. 또한 Value는 (문자열과 같은)당신이 선택한 필드 이름에 대한 값의 타입을 지시할 것이다.


Predefined values

프로토콜 필드들의 일부는 C에서의 enum의 그것처럼 사용할 수 있는 미리 정의된 값들을 가진다. 만약 선택된 프로토콜 필드가 미리 정의된 그런 값들을 가진다면, 당신은 여기서 그것을 선택하라.


Range

XXX - 여기에 설명을 추가하라!


OK

당신이 만족할만한 표현을 만들었다면, OK를 클릭해라. 그러면 필터 문자열이 당신을 위해서 만들어질 것이다.


Cancel

당신은 Cancel을 클릭함으로써 어떠한 영향없이 Add Expression... 다이얼로그 박스를 떠날 수 있다.


5. 필더들 정의와 저장

당신은 Ethereal을 사용하여 필터들을 정의할 수 있고 나중에 사용하기 위해서 그것들에 라벨들을 줄수 있다. 이것은 당신이 사용하는 일부 좀 복잡한 필터들을 기억하고 타이핑하는데 시간을 줄여준다.


새로운 필터를 정의하거나 기존의 필터를 수정하기 위해서는, "Capture" 메뉴로부터 "Capture Filter..." 메뉴를 선택하거나 "Analyze" 메뉴로부터 "Display Filters..." 메뉴 아이템을 선택하라. 그려면, Ethereal은 그림 6.8. "'Capture Filters'와 'Display Filters' 다이얼로그 박스들"에서 보여진것처럼  필터 다이얼로그의 팝업을 띄울 것이다.

 알림!

캡쳐 필터들과 표시 필터들을 정의하고 저장하는 것에 대한 메커니즘들은 거의 동일하다. 그래서 양쪽 모두 여기서 설명될 것이다. 이 둘사이의 차이점들도 그와같이 표시될 것이다.

경고!

당신은 당신의 필터들을 영구히 저장하기 위해서 "Save"를 사용해야 한다. "OK" 또는 "Apply"는 그 필터들을 저장하지 않을 것이기 때문에, 당신이 "Save"를 사용하지 않지 않고 Ethereal을 종료할 때 그 필터들은 사라질 것이다.


그림 6.8. "'Capture Filters'와 'Display Filters' 다이얼로그 박스들"

사용자 삽입 이미지


New

이 버튼은 필터들의 목록에 새로운 필터를 추가한다. "Filter name"과 "Filter string"으로부터 입력된 값들은 사용될 것이다. 만약 이러한 필드들이 비어있으면, 그 값들이 "new"로 셋팅될 것이다.


Delete

이 버튼은 선택된 필터들을 삭제한다. 만약 어떠한 필터도 선택되지 않는다면, 이것은 회색으로 될것이다.


Filter

당신은 이 목록으로부터 하나의 필터를 선택할 수 있다. (그렇게하면 다이얼로그 박스의 아래에 있는 "Filter name" 과 "Filter string" 필드들이 채워질 것이다.)


Fitler name:

당신은 현재 여기에 선택된 필터의 이름을 변경할 수 있다.

 알림!

당신의 편의를 위해서 그 필터 이름은 그 필터를 식별하기 위해서 단지 이 다이얼로그 박스안에서만 사용될 것이다. 이것은 그밖의 다른 곳에서는 사용되지 않을 것이다. 당신은 동일한 이름을 가진 다중 필터들을 추가할 수 있지만, 이것은 그렇게 유용하지 않을 것이다.


Filter string:

당신은 현재 여기에 선택된 필터의 필터 문자열을 변경할 수 있다. "Display Filter"에 대해서만, 당신이 타이핑을 하는 동안, 그 문자열은 구문 체크가 될 것이다.


Add Expression...

"Display Fitler"에 대해서만, 이 버튼은 필터 문자열들을 만다는 것을 돕는 "Add Expression" 다이얼로그 박스를 호출한다.


OK

"Display Filter"에 대해서만, 이 버튼이 현재 디스플레이에 선택된 필터를 적용하고 다이얼로그를 종료할 것이다.


Apply

"Display Filter"에 대해서만, 이 버튼은 현재 디스플레이에 선택된 필터를 적용하고 다이얼로그는 열린 상태 그대로 유지한다.


Save

이 다이얼로그안의 현재 셋팅들을 저장한다.


Close

이 다이얼로그 박스를 종료한다. 이것은 저장되지 않은 셋팅들을 버릴 것이다.


6. 패킷들 찾기

당신은 패킷들을 쉽게 찾을 수 있다. 이 패킷들은 당신이 한번 일부 패킷들을 캡쳐하거나 이전에 저장된 캡쳐 파일을 읽은 것이다. 단지 "Edit" 메뉴로부터 "Find Packet..." 메뉴 아이템을 선택하라. Ethereal은 그림 6.9. "Find Packet 다이얼로그 박스" 다이얼로그 박스를 호출할 것이다.


그림 6.9. "Find Packet 다이얼로그 박스"

사용자 삽입 이미지


당신은 아마도 검색하기 위한 것들의 종류를 먼저 선택해야 한다.


Display filter

"Filter"안에 간단하게 디스플레이 필터 문자열을 입력하라 : 채우고, 방향을 선택하고 "OK"를 클릭하라.

예로써, 호스트 102.168.0.1로부터의 연결에 대한 세 가지 방법의 신호 변경을 찾기 위해서는, 다음의 필터 문자열을 사용하라.

ip.addr==192.168.0.1 and tcp.flags.syn


Hex Value

패킷 데이터안의 특정한 바이트 연속을 검색한다.

예로써, 패킷 데이터안에서 두 개의 null 바이트를 포함하는 다음 패킷을 찾기위해서 "00:00"을 사용하라.


String

다양한 옵션들을 가진 패킷 데이터안의 문자열을 찾는다.


찾아져야 할 문자는 당신이 타이핑하는 동안 구문 체크가 될 것이다. 만약 당신의 값의 구문 체크가 성공하면, 엔트리 필드의 배경이 초록색으로 변할 것이다. 만약 실패한다면, 빨간색으로 변할 것이다.


당신은 검색할 방향을 선택할 수 있다.

Up

패킷 목록의 위쪽로 검색한다.(패킷 번호들이 감소한다.)


Down

패킷 목록의 아래쪽으로 검색한다.(패킷 번호들이 증가한다.)


6.2. "Find Next" 명령

"Find Next"는 전의 "Find Pakcet"에서 작동했던 것과 같은 옵션들을 가지고 검색을 계속할 것이다.


6.3. "Find Previous" 명령

"Find Previous"는 반대의 검색 방향을 가지고 "Find Next"와 같은 것을 수행할 것이다.

댓글
공지사항
최근에 올라온 글
최근에 달린 댓글
Total
Today
Yesterday
링크