Wireshark

【wireshark】フィルタの使い方 〜and/or,除外,時間,dhcp/https,正規表現での検索〜

個人的によく使うフィルタだったり、あまり使わないけど使うことありそうなフィルタを集めてみました。

送信元 IP もしくは宛先 IP との通信のみを表示

ip.addr == 157.112.150.6

特定 NW アドレスの通信 (送信元もしくは宛先) のみを表示

ip.addr == 157.112.150.0/24

特定ポートのみ表示

tcp.port == 1762

特定の TCP コネクションのみを表示したい場合はクライアント側のポート番号でフィルタすると良い。(以下は特定の http 通信の TCP コネクションのみを表示)

特定MACアドレスのみ表示

eth.addr == ff:ff:ff:ff:ff:ff

L2ブロードキャストのみ表示。

arp を除外

not arp

特定 IP を除外

!(ip.addr==8.8.8.8)

特定ポートを除外

!(tcp.port == 22)

ssh を除外する場合はこれ。

and条件

!(tcp.port==22) && ip.addr==192.168.100.100

or条件

tcp.port==80 || ip.addr==8.8.8.8

dhcp

bootp

https

ssl

http 1.0/1.1 の URL

http.request.uri == milestone-of-se.nesuke.com

http/2 の URL

http2.headers.authority==www.gstatic.com

ただし、これは以下手順で https を復号していないと見られません。

【解析/Wireshark】https(SSL/TLS)を復号化する方法(SSLKEYLOGFILE),ブラウザで見る方法
Wireshark で https を復号するには Wireshark は NI...

もし https を復号せず表示したい場合は以下を参照ください。

【wireshark】http/httpsの宛先URLのフィルタ、表示
http の宛先URLでフィルターする 取得したパケットキャプチャーのうち、ht...

時間指定

frame.time > "Nov 28, 2018 0:20:00.0000"

正規表現

フィルタというより、パケット内の検索で正規表現(ワイルドカードではない)が使えます。

.*\.msn\.com

フィルタの保存

フィルタを入力した後に左にあるリボンボタンを押し、『Save this filter』を押下し、ポップアップ画面の『OK』を押下します。

呼び出すときは同様にリボンボタンを押し、先程作成したフィルタをクリックします。

【厳選 3 冊】パケットキャプチャを学ぶための本

パケットキャプチャ関連でお奨めの本を 3 冊紹介します。どれも私のサイトからの購入率が高いものです。

パケットキャプチャの教科書

追加: "title": "パケットキャプチャの教科書",
削除:

本書では、これからパケット解析を始める人を対象に、パケットキャプチャツールのデファクトスタンダード「Wireshark」の使い方や、実際に現場で見かけるパケットを理解するうえで必要な知識を、じっくり丁寧に解説します。
実践 パケット解析 第3版 ~Wiresharkを使ったトラブルシューティング~

現場での利用方法や具体的なトラブルシュート方法など、現場で活用できる技が豊富に記載されています。サンプルのキャプチャファイルを実際に見ながら学べるので初心者にも分かり易く学べます。

本書ではWiresharkで実際に取得したパケット情報の実例を使って問題やトラブルの解析方法を詳しく解説します。パケットのキャプチャファイルはWebからダウンロードでき、初心者も実際に試しながら理解を深めることができるので、ネットワーク管理の初心者に好適です。
パケットキャプチャ 無線LAN編 ~Wiresharkによる解析~

無線を見える化し、セキュリティやトラブルシュートを行うためのノウハウが豊富に記載されています。無線LANのエンジニアなら必携です。

大好評ロングセラー『パケットキャプチャ』シリーズ第3弾!無線LANのパケットを「見える化」! !ダウンロードして使えるサンプルパケット付き

あなたが成長の日々を歩めますように。

コメント

タイトルとURLをコピーしました