[wireshark] 네트워크 분석 프로그램 color rules

 

Wireshark

 Wireshark는 네트워크 패킷 분석(Network Packet Analyzer) 도구로, 네트워크에서 전송되는 데이터를 캡처하고 분석할 수 있는 오픈 소스 소프트웨어 입니다. 실시간 패킷, 프로토콜 분석 기능을 통해 네트워크 트러블슈팅, 보안 취약탐지, 웹사이트 성능 분석, 패킷 스니핑 및 포렌식을 할 수 있습니다.

 

 

 wireshark는 네트워크에 돌아다니는 수 많은 패킷들을 보여 주는데 너무 많다보니 색상으로 알아보기 좋게 표시를 해줍니다. 

 

** View > Coloring Rules를 통해 표시 여부를 수정할 수 있습니다.

 

Color Rules Info

항목	설명	필터 조건
Bad TCP	TCP 패킷에서 오류가 감지된 경우 (예: 손실, 재전송)	tcp.analysis.flags && ! tcp.analysis.window_update && ! tcp.analysis.keep_alive && ! tcp.analysis.keep_alive_ack
HSRP State Change	HSRP(Hot Standby Router Protocol)의 상태 변경 감지	hsrp.state != 8 && hsrp.state != 16
Spanning Tree Topology Change	스패닝 트리 프로토콜(STP)의 토폴로지 변경 감지	stp.type == 0x80
OSPF State Change	OSPF(Open Shortest Path First) 상태 변경 감지	ospf.msg != 1
ICMP errors	ICMP 또는 ICMPv6에서 오류 메시지 발생 (예: 목적지 도달 불가)	`icmp.type in { 3..5, 11 }
ARP	ARP(Address Resolution Protocol) 패킷 감지	arp
ICMP	ICMP 또는 ICMPv6 패킷 감지	`icmp
TCP RST	TCP 연결이 강제로 종료됨 (Reset)	tcp.flags.reset eq 1
SCTP ABORT	SCTP(Stream Control Transmission Protocol) 연결이 종료됨	sctp.chunk_type eq ABORT
IPv4 TTL low or unexpected	예상되지 않은 낮은 TTL(Time To Live) 값 감지	`(ip.dst != 224.0.0.0/4 && ip.ttl < 5 && !(pim
IPv6 hop limit low or unexpected	예상되지 않은 낮은 IPv6 hop limit 감지	`(ipv6.dst != ff00::/8 && ipv6.hlim < 5 && !(ospf
Checksum Errors	패킷의 체크섬 오류 감지	`eth.fcs.status==“Bad”
SMB	SMB(Server Message Block) 트래픽 감지	`smb
HTTP	HTTP 또는 HTTP/2 트래픽 감지	`http
DCERPC	DCE/RPC(Distributed Computing Environment / Remote Procedure Call) 트래픽 감지	dcerpc
Routing	라우팅 프로토콜 감지 (예: HSRP, OSPF, BGP)	`hsrp
TCP SYN/FIN	TCP 세션 설정 또는 종료 감지	`tcp.flags & 0x02
TCP	모든 TCP 트래픽 감지	tcp
UDP	모든 UDP 트래픽 감지	udp
Broadcast	브로드캐스트 패킷 감지	eth[0] & 1
System Event	시스템 로그 및 관련 이벤트 감지	`systemd_journal