wireshark에서 특정 패킷에 색상 넣기

간혹 패킷 분석을 하다보면 특정 패킷에 색상을 넣어 분석을 용이하게 할 수가 있음.

예를 들면 HTTP Request URI 와 HTTP Response 200 OK 에 대해서 분석할 때 HTTP Response 200 OK 에 대해서만 색상을 넣어서 분석을 좀더 효율적으로 할 수 있음.

1. View -> Coloring Rules

2. Edit 부분에서 New 버튼 클릭

3. Name, String, Background Color 설정한 후 OK 버튼 클릭

ex. 만약에 HTTP Response 패킷 중 200 OK 만 보고 싶다면

원하는 이름을 적고 String 값에 "http.response.code==200 or tcp contains 48:54:54:50:2f:31:2e:31:20:32:30:30:20:4f:4b" 입력함.

그리고 Background Color 버튼을 클릭하여 원하는 생상을 지정하고 OK 클릭함.

참고로 명령어 중에 tcp contains 48:54:54:50:2f:31:2e:31:20:32:30:30:20:4f:4b 는 "HTTP/1.1 200 OK" 문자열의 헥사값임.

4. 최종적으로 Apply 버튼을 클릭한 후 제대로 나오는지 확인해보자!

ex. 아래 그림은 웹스캔 공격에 대한 패킷으로 필터를 "http.request.full_uri or http.response.code==200 or tcp contains 48:54:54:50:2f:31:2e:31:20:32:30:30:20:4f:4b" 입력해서 영향력을 확인한 장명임.