캡처 필터를 사용하는 간단한 예는 여러 역할을 가진 서버에서 트래픽을 캡처할 때.

ex) 포트 262에서 실행 중인 서비스에 어떤 문제가 있다고 가정.

-> 포트 262에 해당하는 트래픽만 캡처하고 분석할 수 있음.

1. Capture ->Interface를 선택, Capture Options 대화상자를 열기 위해 패킷을 캡처하려는 인터페이스 옆에 있는 Options 버튼을 클릭.

2. 패킷을 캡처하기 원하는 인터페이스를 선택하고 캡처 필터를 선택

3. Capture Filter 버튼의 옆에 있는 텍스트상자에 표현식을 입력해 캡처 필터를 적용할 수 있음. 포트 262에 대해 들어오거나 나가는트래픽만을 보기 위한 필터를 원한다면 port 262라고 입력.

4. 필터를 설정하고 Start를 클릭해 패킷 캡처를 시작

(1) Capture/BPF 구문

캡처 필터는 WinPcap에 의해 적용되고 BPF구문을 사용.

BPF구문을 사용해 만들어진 필터는 표현식이라고 불리고, 각 표현식은 하나 또는 그 이상의 프리미티브로 이뤄져 있다. 

표현식을 만들때에 프리미티브를 결합하는 논리 연산자를 사용할 수 있다.

- 논리합 연산자 AND(&&)

- 논리곱 연산자 OR(||)

- 논리 부정 연산자 NOT(!)

ex) src 192. 168. 0. 10 && port 80

-> 192. 168. 0. 10의 발신지 IP 주소와 발신지나 목적지 포트가 80인 트래픽만을 캡처

(2) 호스트 이름과 주소 지정 필터

상황에 따라 필터링은 장치의 MAC 주소, IPv4 주소, IPv6 주소나 해당 DNS 호스트 이름을 기반으로 할 수 있다.

ex) host 172.16.16.149

사용자가 IPv6 네트워크에 있다면 여기에서처럼 host 한정자를 사용해 IPv6 주소에 기반을 두고 필터링을 한다.

ex) host 2001 : db8 : 85a3 :: 8a2e : 370 : 7334

host 한정자를 사용해 장치의 호스트 이름에 기반을 두고 필터링 할 수 있다.

ex) host testserver2

호스트에 대한 IP주소가 변경될 수도 있다고 판단하는 경우 ether 프로토콜 한정자를 추가해 해당 MAC 주소에 기반을 두고 필터링할 수 있다.

ex) ether host 00-1a-a0-52-e2-a0

특정 호스트에서 오는 트래픽만 캡처하려면 src 한정자를 추가

ex) src host 172.16.16.149

의심스러운 호스트를 목적지로 한 서버 172.16.16.149로 떠나는 데이터만 캡처하려면 dst 한정자를 사용

ex) dst host 172.16.16.149

프리미티브와 함계 type 한정자(host, net, port)를 사용하지 않는 경우 host 한정자로 가정.

ex) dst 172.16.16.149