[wireshark] IP fragments 패킷 필터링

개요

wireshark는 디폴트로 IP fragments 패킷에 대해서 재조합해서 완성된 패킷으로 보여준다. 이번장에서는 fragment 패킷을 필터링하는 방법에 대해 설명하고자 한다.

 

IP fragments 패킷 분석

1. filter에 아래와 같은 옵션을 주고 패킷을 캡쳐 하게 되면 fragment 패킷을 볼수가 있다.

ip.flags.mf == 1 or ip.frag_offset > 0

예)아래는 icmp 패킷을 2000byte로 보냈을때 캡쳐한 화면(MTU 1500)

dos> ping -l 2000 192.168.0.1

1500byte를 초과로 인하여 2개의 패킷으로 fragment되어 패킷이 발송하는 것을 볼수가 있다.

[그림 1]의 More fragments 필드가 1로 설정되어 있으므로 추가 패킷이 있음을 알수 있다.

[그림 1] fragment화된 첫번째 패킷

[그림 2]의 fragment offset 값이 0이 아닌걸로 보아 fragment된 패킷임을 알수 있다.

[그림 2] fragment화된 두번째 패킷

2. fragment 패킷 필터링 옵션 없이 패킷 캡쳐

dos> ping -l 2000 192.168.0.1

fragment offset 필드에 값이 설정된 걸로 보아 fragment 패킷임을 짐작할수 있다 

[그림 3] 옵션 없이 캡쳐한 화면

3. non-fragement 패킷 캡쳐

dos> ping 192.168.0.1

fragment offset이 0으로 지정 되어 있으므로 fragment되지 않은 패킷임을 알수 있다.

[그림 4] 정상적인 패킷