Shikata Ga Nai

Private? There is no such things.

Wiresharkの表示フィルタについてかいてみた

Hello there, ('ω')ノ

 

表示フィルタは、キャプチャフィルタと比較すると柔軟性があって。

表示フィルタはパケットを破棄せずに、パケットは非表示になって。

パケットがドロップされると、回復することができないので。

 

下記は、サンプルキャプチャフィルタで。

IP、ポート、プロトコルなどのさまざまな引数をサポートして。

 

host 192.168.1.1

 ホスト192.168.1.1に関連付けられたすべてのトラフィック

 

port 8080

 ポート8080に関連付けられたすべてのトラフィック

 

src host 192.168.1.1

 ホスト192.168.1.1から発信されるすべてのトラフィック

 

dst host 192.168.1.1

 ホスト192.168.1.1宛てのすべてのトラフィック

 

src port 53

 ポート53からのすべてのトラフィック

 

dst port 21

 ポート21宛てのすべてのトラフィック

 

src 192.168.1.1 and tcp port 21

 192.168.1.1から発信され、ポート21に関連付けられたすべてのトラフィック

 

dst 192.168.1.1 or dst 192.168.1.2

 192.168.1.1またはホスト192.168.1.2宛てのすべてのトラフィック

 

not port 80

 ポート80に関連付けられていないすべてのトラフィック

 

not src host 192.168.1.1

 ホスト192.168.1.1から発信されていないすべてのトラフィック

 

not port 21 and not port 22

 ポート21またはポート22に関連付けられていないすべてのトラフィック

 

TCP

 すべてのTCPトラフィック

 

Ipv6

 すべてのIPv6トラフィック

 

tcp or udp

 すべてのTCPまたはUDPトラフィック

 

host www.google.com

 GoogleのIPアドレスとの間のすべてのトラフィック

 

ether host 07:34:AA:B6:78:89

 指定されたMACアドレスに関連付けられたすべてのトラフィック

 

 

下記は、フィルタの作成に使用できる比較演算子で。

  

== / eq

 等しい

 

!= / ne

 等しくない

 

< / lt

 未満

 

<= / le

 以下

 

> / gt

 より大きい

 

> = / ge

 以上

 

 

下記は、組み合わせるために使用される論理演算子のリストで。

 

AND /&&

 AND論理演算子は、式の両方の部分をtrueに設定する場合に使用されて。

 たとえば、ip.src == 192.168.1.1 && tcp

 

OR / ||

 OR論理演算子は、一度に1つの条件に当てはまる場合に使用されて。

 たとえば、port 53 or port 80

 

NOT /!

 NOT論理演算子は、リストペインから一部のパケットを除外する場合に使用されて。

 たとえば、!dns

 このフィルタは、DNSプロトコルに関連するパケットを非表示にして。

 

たとえば、画面右上の『書式』ボタンで表示フィルタ式を表示させて。

フィールド名を選択した後にリレーションを選択して。

最後にIPアドレス等の値を入力すると。

 

f:id:ThisIsOne:20200629121856p:plain

 

指定したIPアドレスがSourceであるものと合致したものがフィルタリングされて。

 

f:id:ThisIsOne:20200629121940p:plain

 

このフィルタを保持することができて。

左上のリボンマークをクリックして、『このフィルタを保存』を選択して。

 

f:id:ThisIsOne:20200629130818p:plain

 

名前をつけて保存すると完了。

 

f:id:ThisIsOne:20200629130917p:plain

 

 また、画面右上の『+』ボタンでフィルタボタンを作成することも。

 f:id:ThisIsOne:20200629131143p:plain

  

『OK』ボタンで画面右上の『+』ボタン横にフィルタボタンが追加されて。

 

f:id:ThisIsOne:20200629154643p:plain

 

作成されたボタンは、『フィルタ書式を管理』メニューで確認できて。

 

f:id:ThisIsOne:20200629154915p:plain

 

このウィンドウで管理されて、編集や削除もできて。

 

f:id:ThisIsOne:20200629155040p:plain

 

Best regards, (^^ゞ