【wireshark】フィルタの使い方 〜and/or,除外,時間,dhcp/https,正規表現での検索〜

個人的によく使うフィルタだったり、あまり使わないけど使うことありそうなフィルタを集めてみました。

特定ホストとの通信のみを表示

ip.addr == 157.112.150.6

特定ポートのみ表示

tcp.port == 1762

特定の TCP コネクションのみを表示したい場合はクライアント側のポート番号でフィルタすると良い。(以下は特定の http 通信の TCP コネクションのみを表示)

特定MACアドレスのみ表示

eth.addr == ff:ff:ff:ff:ff:ff

L2ブロードキャストのみ表示。

arp を除外

not arp

特定ホストを除外

!(ip.addr==8.8.8.8)

特定ポートを除外

!(tcp.port == 22)

ssh を除外する場合はこれ。

and条件

!(tcp.port==22) && ip.addr==192.168.100.100

or条件

tcp.port==80 || ip.addr==8.8.8.8

dhcp

bootp

https

ssl

http 1.0/1.1 の URL

http.request.uri == milestone-of-se.nesuke.com

http/2 の URL

http2.headers.authority==www.gstatic.com

なお、これは以下手順で https を復号化していないと基本見れないです。

【解析】https(SSL/TLS)をwiresharkで復号化する方法,ブラウザで見る方法
【解析】https(SSL/TLS)をwiresharkで復号化する方法,ブラウザで見る方法
Wireshark で https を復号化するには Wireshark は ...

時間指定

frame.time > "Nov 28, 2018 0:20:00.0000"

正規表現

フィルタというより、パケット内の検索で正規表現(ワイルドカードではない)が使えます。

.*\.msn\.com

フィルタの保存

フィルタを入力した後に左にあるリボンボタンを押し、『Save this filter』を押下し、ポップアップ画面の『OK』を押下します。

呼び出すときは同様にリボンボタンを押し、先程作成したフィルタをクリックします。

シェアする

  • このエントリーをはてなブックマークに追加

フォローする