こんばんわ、ちま夫です。
Wireshark でパケットキャプチャーして表示フィルタを使用することがありましたので、忘れないよう備忘録として書いておきます。
Wiresharkのフィルタと言っても、キャプチャーする時にフィルタするキャプチャーフィルタと、表示する時にフィルタして表示する表示フィルタの2種類が存在します。
今回は表示フィルタの方を記載します。
Wiresharkのバージョン
この記事で使用しているWiresharkのバージョンはVer3.0.2です
表示フィルタのルール例
表示フィルタのルール例をいくつか記載します。
| 内容 | フィルタ設定例 |
|---|---|
| IPアドレスが192.168.200.100に合致したパケットを表示 | ip.addr == 192.168.200.100 |
| 宛先IPアドレスが182.22.25.124に合致したパケットを表示 | ip.dst == 182.22.25.124 |
| 送信元IPアドレスが192.168.200.100に合致したパケットを表示 | ip.src == 192.168.200.100 |
| プロトコルがICMPに合致したパケットを表示 | icmp |
| TCPポート番号がTCP:443に合致したパケットを表示 | tcp.port == 443 |
| 宛先TCPポート番号がTCP:443に合致したパケットを表示 | tcp.dstport == 443 |
| 送信元TCPポート番号がTCP:443に合致したパケットを表示 | tcp.srcport == 443 |
| 宛先IPアドレスが182.22.25.124で且つ宛先TCPポート番号がTCP:443に合致したパケットを表示 | ip.dst == 182.22.25.124 and tcp.dstport == 443 |
表示フィルタの設定結果例
それでは実際に表示フィルタのルールを適用させた時の画面イメージを記載します。
【標準】
フィルタ無しの標準画面です。赤色四角部分にフィルタルールを入力して目的のパケットのみを表示させます。
【IPアドレスが192.168.200.100に合致したパケットを表示】
【宛先IPアドレスが182.22.25.124に合致したパケットを表示】
【送信元IPアドレスが192.168.200.100に合致したパケットを表示】
【プロトコルがICMPに合致したパケットを表示】
【TCPポート番号がTCP:443に合致したパケットを表示】
【宛先TCPポート番号がTCP:443に合致したパケットを表示】
【送信元TCPポート番号がTCP:443に合致したパケットを表示】
【宛先IPアドレスが182.22.25.124で且つ宛先TCPポート番号がTCP:443に合致したパケットを表示】
こんな感じに目的のパケットのみを表示でき、大変見やすくなりますね。ここに書いたフィルタルールはほんの一部なので色々試してみてください。
