네트워크 분석을 하다 보면 패킷이 너무 많이 찍혀서 도대체 뭐가 중요한지 안 보이는 순간이 옵니다.
그럴 때 필요한 게 바로 와이어샤크 필터링입니다.
이번 글에서는
✔ 캡처 필터 vs 디스플레이 필터 차이
✔ 실무에서 자주 쓰는 필터 문법
✔ 보안 분석용 필터 예시
✔ APT·침해사고 대응 시 필터 전략
까지 한 번에 정리해드립니다.
1️⃣ 캡처 필터 vs 디스플레이 필터 차이
와이어샤크에는 필터가 2가지 있습니다.
구분 Capture Filter Display Filter
| 적용 시점 | 패킷 수집 전 | 수집 후 |
| 속도 | 빠름 | 비교적 느림 |
| 문법 | tcpdump 기반 | 와이어샤크 전용 |
| 추천 사용 | 대용량 트래픽 환경 | 분석 단계 |
🔎 쉽게 이해하면
- Capture Filter → 처음부터 걸러서 저장
- Display Filter → 저장된 것 중에서 검색
2️⃣ 캡처 필터 (Capture Filter) 기본 문법
캡처 필터는 tcpdump 문법을 사용합니다.
✅ 특정 IP만 캡처
host 192.168.0.10
✅ 특정 포트만 캡처
port 443
✅ TCP만 캡처
tcp
✅ 80번 포트 제외
not port 80
✅ 특정 네트워크 대역
net 192.168.1.0/24
📌 실무 팁
트래픽이 많은 서버에서는 캡처 필터를 먼저 걸지 않으면 PC가 버벅입니다.
3️⃣ 디스플레이 필터 (Display Filter) 핵심 문법
디스플레이 필터는 분석 단계에서 가장 많이 사용합니다.
✅ 특정 IP 분석
ip.addr == 192.168.0.10
✅ 출발지 IP만 보기
ip.src == 10.10.10.5
✅ 목적지 IP만 보기
ip.dst == 8.8.8.8
✅ 특정 포트
tcp.port == 443
✅ HTTP 트래픽만
http
✅ DNS만 보기
dns
4️⃣ 실무에서 가장 많이 쓰는 필터 조합
🔥 1. 특정 IP + 특정 포트
ip.addr == 192.168.0.10 && tcp.port == 443
🔥 2. TCP 재전송 패킷 확인
tcp.analysis.retransmission
🔥 3. SYN 패킷만 보기 (스캔 탐지)
tcp.flags.syn == 1 && tcp.flags.ack == 0
🔥 4. HTTP 에러 코드 보기
http.response.code >= 400
5️⃣ 보안 분석용 필터 (침해사고 대응)
보안 운영/침해 대응 시 자주 쓰는 필터입니다.
🚨 내부 → 외부 비정상 통신 탐지
ip.src == 192.168.0.0/16 && !(ip.dst == 192.168.0.0/16)
🚨 DNS 터널링 의심
dns && dns.qry.name.len > 50
🚨 C2 통신 의심 (짧은 주기 통신)
tcp.analysis.keep_alive
🚨 비정상 포트 사용
tcp.port not in {80 443 22 53}
6️⃣ 와이어샤크 필터 고급 기능
📌 contains 사용
http contains "login"
📌 matches (정규식)
http.request.uri matches "admin"
📌 in 연산자
ip.addr in {192.168.0.1 192.168.0.2}
7️⃣ 필터 작성 시 실수 TOP 3
❌ = 대신 == 사용해야 함
❌ Capture 필터에 Display 문법 사용
❌ 논리연산자 && / || 혼동
8️⃣ 실전 예제 시나리오
💻 상황
사내 PC가 외부 8080 포트로 지속 통신
🔎 분석 필터
ip.src == 192.168.0.25 && tcp.port == 8080
→ 패킷 길이 확인
→ 통신 주기 확인
→ HTTP 여부 확인
9️⃣ 단축키 & 꿀팁
✔ Ctrl + / → 필터 자동완성
✔ 우클릭 → Apply as Filter
✔ Statistics → Conversations 활용
🎯 마무리
와이어샤크 필터를 잘 쓰면
✔ 네트워크 장애 분석 속도 2배
✔ 보안 위협 탐지 정확도 상승
✔ 로그 분석 시간 단축
처음엔 어렵지만, 자주 쓰는 필터 10개만 외워도 체감이 달라집니다.