troushoo

スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

  1. --/--/--(--) --:--:--|
  2. スポンサー広告

Wiresharkのディスプレイフィルタ - 基本的な使用方法から、よく使うフィルタまで -

Wireshakrのディスプレイフィルタの使い方を、基本的な使用方法から、よく使うフィルタまで紹介します。

【ディスプレイフィルタの基本的な使用方法】
ディスプレイフィルタは、”Filter”の欄にフィルタの構文を書き込むことで使用します。
例えば、IPアドレスが192.168.122.129のパケットのみを表示したいという場合は、”Filter”の欄に、”ip.addr == 192.168.122.129”と記入します。
ディスプレイフィルタの基本的な使用方法

【ディスプレイフィルタの構文】
上記の例で記述したように、ディスプレイフィルタを使用するには、ディスプレイフィルタの構文を書き込む必要があります。
このディスプレイフィルタの構文は、”Filter”をクリックすることでわかります。
フィルタをクリック
以下のスクリーンショットは、”Filter”をクリックした直後に出てくるウィンドウです。
”Display Filter”の行をクリックすると、”Filter string”にディスプレイフィルタの構文が表示されます。
ディスプレイフィルタの構文
この状態で”OK”を押すと、パケットキャプチャに対してディスプレイフィルタがかかります。
フィルタされる

【よく使うディスプレイフィルタ】
以下、よく使うディスプレイフィルタを紹介します。
以下のリストは、lovemytoolのサイトで紹介されていたChris Greer 氏によるTop 10です。

ディスプレイフィルタの構文 説明
ip.addr == 10.0.0.1 送信元、もしくは送信先が10.0.0.1であるパケットを表示
ip.addr==10.0.0.1  && ip.addr==10.0.0.2 10.0.0.1と10.0.0.2間の通信を表示
http or dns HTTP、もしくはDNSを表示
tcp.port==4000 ポートが4000の物を表示
tcp.flags.reset==1 TCPのリセットを表示
http.request HTTP GETを表示
tcp contains traffic TCPパケットに’traffic’という単語を含んでいる物を表示。ユーザーIDといった特定の文字列を含んでいるパケットを調べる際に便利。
!(arp or icmp or dns) ARPやICMPやDNSでないプロトコルを表示。
調べたいパケットに集中することができる。
udp contains 33:27:58 “0x33 0x27 0x58”を含むUDPを表示
tcp.analysis.retransmission TCPのRetransmission (= 再送) を表示。
アプリのパフォーマンス問題、パケットロス時のトラブルシューティングに便利。

リンク
・Top 10 Wireshark Filters (by Chris Greer) (英語)
よく使うディスプレイフィルタのリストはここのサイトに載っていました。
http://www.lovemytool.com/blog/2010/04/top-10-wireshark-filters-by-chris-greer.html
  1. 2013/04/16(火) 23:10:35|
  2. ネットワーク
  3. | トラックバック:0
  4. | コメント:0
<<Visual Studioの役に立つショートカット -コードエディター編 | ホーム | WiresharkのパケットキャプチャからSMBで通信されたファイルを取り出す方法>>

コメント

コメントの投稿


管理者にだけ表示を許可する

トラックバック

トラックバック URL
http://troushoo.blog.fc2.com/tb.php/108-92731fcf
この記事にトラックバックする(FC2ブログユーザー)

スポンサーリンク

最新記事

月別アーカイブ

カテゴリ

ツール (92)
ネットワーク (76)
Visual Studio (56)
SOS・Psscor2/Psscor4 (25)
WinDbg (25)
Linux (24)
Azure (17)
Tips (20)
英語 (1)
About Me (1)
未分類 (0)

全記事表示リンク

全ての記事を表示する

検索フォーム

RSSリンクの表示

リンク

このブログをリンクに追加する

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。