httpudp.port==53

tcp.port==포트

http.host==도메인*info

컬럼 검색?Description == "HTTP:Request, GET / "Description.contains("Request")http.request.uri.xhttp.request.uri == "/"http.host == www.samwongarden.comhttp && frame contains GET && frame contains jquery

ip.src_host == 10.10.1.54 and ip.dst_host == 220.73.162.130

출발지 IP 주소가 10.7.2.12이면서, 목적지 IP 네트워크가 10.200.0.0/16이 아닌 패킷

*ip.src != 10.1.2.3 and ip.dst != 10.4.5.6

출발지 IP 주소가 10.1.2.3이 아니면서, 동시에 목적지 IP 주소가 10.4.5.6이 아닌 패킷

wireshark- filter 예시 : http contains "&query="-

필터 예시 : http.host contains "******.co.kr"

• 첫 웹페이지  index.html 을 찾아서 오른쪽 클릭 "follow tcp stream"

• (중요) pcap 파일에서 http만 보기 :   file -> export Object -> http 로 저장

• (중요) Follow TCP stream : 패킷하나만 보면 모르니, 조립해달라는 기능(보안상으로도 패킷하나로는 할게 없음. 조립된 상태에서 분석해야 취약점 있는지 알수 있음)(장애처리 예)tcp.analysis.errorstcp.analysis.retransmission 등

(해킹분석시 필터)http contains "<iframe"            : 검색대상이 넓고http.host contains "naver.com" : 좀더 정교한 분석이 가능. http.request.uri == "/"http.request.uri contains ""statistics - http  - load distribution와이어샤크로 sql injection 사례 실습

• 로그인할때는 post를 쓴다

• 필터 ; http.request.method == "POST"네트워크 개념에서 강조한것