今回はネットワーク・アナライザ・ソフトウェアである「Wireshark」のフィルター構文についてまとめておきます。
(1)送信元で指定したIPアドレスであるパケットを表示
ip.src == Ipアドレス
(2)宛先で指定したIPアドレスであるパケットを表示
ip.dst == Ipアドレス
(3)送信元or送信先(宛先)が指定したIPアドレスであるパケットを表示
ip.addr == Ipアドレス
(4)IPアドレス[1],[2]間のパケットを表示
ip.addr == Ipアドレス[1] && ip.addr == Ipアドレス[2]
(5)HTTP or DNSプロトコル通信のパケットを表示
http or dns
(6)ポート番号を指定したパケット表示
tcp.port == ポート番号
(7)tcpパケットに指定した文字列が含まれるのパケットを表示
tcp contains 文字列
(8)特定のIPアドレス以外の通信を表示
!(ip.addr == Ipアドレス)
(9)送信元、送信先が指定したIPアドレスでかつ指定したプロトコル(SNMP)以外のパケットを表示
(ip.addr == Ipアドレス) && !(SNMP)
(10)TCPの「SYN」パケットのみ表示
tcp.flags.syn == 1
(11)TCPの「FIN」パケットのみ表示
tcp.flags.fin == 1
(12)TCPの「RESET」パケットのみ表示
tcp.flags.reset == 1
(13)TCPのソースポートを指定して表示
tcp.srcport == 80
(14)TCPの宛先ポートを指定して表示
tcp.dstport == 80
(15)port80番を除く、通信の開始(SYN)と終了(FIN)のパケットを表示
(tcp.flags.syn == 1 || tcp.flags.fin == 1) && !(tcp.port == 80)
(16)MACアドレスを指定して表示
eth.src == 送信元 MAC アドレス
eth.dst == 送信先 MAC アドレス
eth.addr == 送信元・送信先いずれかの MAC アドレス
以上。
▼参考URL
「Wiresharkのディスプレイフィルタ - 基本的な使用方法から、よく使うフィルタまで -」
http://troushoo.blog.fc2.com/blog-entry-108.html
「テクニカルにつれ"ず"れる 」
http://naporeon.blogspot.jp/2009/02/wireshark.html
「ネットワーク - Wireshark - フィルタ - MAC アドレス」
https://freebsd.sing.ne.jp/tool/01/11/05.html