【概要】
・キャプチャフィルタ:キャプチャするパケット自体を絞り込む機能
・ディスプレイフィルタ:絞り込んだパケットの表示を絞り込む機能
キャプチャフィルタとディスプレイフィルタでは構文が異なるため、注意が必要
【キャプチャフィルタ】
tcpdumpと同じpcap-filterの構文で設定可能
構文をすべて入力し終えたとき、ボックスが緑色であれば正しい構文、赤色であれば構文エラー
not(!)やand($$)やor(||)も指定可能
(設定方法)
・"Wiresharkへようこそ”画面にあるキャプチャフィルタのボックスに入力する方法
(文法)
Proto Dir Type ID
・Proto:プロトコルを指定(ip, tcp, udp, arp, ether, 省略した場合はTypeで指定されたフィールドを持つすべてのプロトコルが指定)
・Dir:通信方向を指定(ex. src, dst, 省略した場合はsrc or dst)
・Type:IDの種類を指定(ex. host, port, 省略した場合はhost)
・id:Typeで指定した属性に呼応する値
(基本的なキャプチャフィルタ指定例)
| キャプチャするパケット | キャプチャフィルタ |
|---|---|
| TCPパケット | tcp |
| 送信元や送信先のIPアドレスが192.0.0.1 | ip host 192.0.0.1 |
| 送信先のポート番号が80/tcp | tcp dst port 80 |
| 送信先のポート番号が80/tcpを除く | not tcp dst port 80 |
| 送信先のポート番号が80/tcpまたは443/tcp | tcp dst port 80 or tcp dst port 443 |
(詳細リンク先)
Manpage of PCAP-FILTER
CaptureFilters - The Wireshark Wiki
【ディスプレイフィルタ】
pcap-filterとはまったく異なる構文で設定
構文をすべて入力し終えたとき、ボックスが緑色であれば正しい構文、赤色であれば構文エラー
not(!)やand($$)やor(||)も指定可能
(設定方法)
・Wiresharkのメイン画面にあるフィルタツールバーのボックス
(文法)
fieldname relation value
・fieldname:プロトコルを指定(ex. eth, arp, tcp, udp, http)[※1]
・releation:比較演算子を設定(ex. eq[==], gt[>], lt[<], ge[>=], le[<=])
・value:文字列や数値を指定、文字列の場合はダブルクォートで挟む必要有
※1 各フィールドにある下位のフィールドを指定する場合は、フィールド名.下位のフィールド名のように指定する。
(基本的なディスプレイフィルタ指定例)
| 表示するパケット | ディスプレイフィルタ |
|---|---|
| TCPパケット | tcp |
| 送信元や送信先のIPアドレスが192.0.0.1 | ip.addr == 192.0.0.1 |
| 送信先のポート番号が80/tcp | tcp.dstport == 80 |
| 送信先のポート番号が80/tcpを除く | not tcp.dstport == 80 |
| 送信先のポート番号が80/tcpまたは443/tcp | tcp.dstport == 80 or tcp.dstport == 443 |
(詳細リンク先)
6.4. Building display filter expressions
- 出版社/メーカー: 技術評論社
- 発売日: 2018/04/18
- メディア: 雑誌
- この商品を含むブログ (2件) を見る
パケットキャプチャ入門 第4版― LANアナライザWireshark活用術―
- 作者: 竹下恵
- 出版社/メーカー: リックテレコム
- 発売日: 2018/05/12
- メディア: 単行本(ソフトカバー)
- この商品を含むブログを見る
パケットキャプチャの教科書 (Informatics&IDEA)
- 作者: みやたひろし
- 出版社/メーカー: SBクリエイティブ
- 発売日: 2017/10/14
- メディア: 単行本
- この商品を含むブログを見る
