Wiresharkツールの表示フィルターの使い方

Wireshark 表示フィルタは、キャプチャされたデータ パケットをフィルタリングし、フィルタリング条件を満たすデータ パケットのみを表示するために使用されます。通常、表示フィルタはキャプチャ フィルタよりも一般的に使用されます。通常、パケット キャプチャ プロセスには制限がありません。あらゆるパケットがキャプチャされ、表示フィルタを通じて特定のデータ パケットが分析されます。

フィルタを表示するには、次の 2 つの方法があります。

• ダイアログ モード

• テキスト式モード

ダイアログ モード表示

この方法は非常に簡単で、マウスを移動して必要なフィルター ルールを選択するだけです。 [分析] -> [フィルタ式の表示] の順にクリックします。

左側のボックスには、使用可能なすべてのプロトコル ドメインが表示されます。フィルタリングプロトコルフィールドを選択し、次に関係を選択し、最後に値を入力すると、表示フィルタリングが完了します。

テキスト式の表示フィルター

ダイアログ ボックスの方法は初心者に適していますが、しばらく Wireshark をプレイすると慣れるでしょう。表示フィルターを使用してルールを設定した後、テキスト式を使用して操作できます。以下は、いくつかの一般的な表示フィルターを示しています。

プロトコル制限

は、http、ssh、tcp、などの一般的に使用されるプロトコルを制限するために使用されます。等

http プロトコルのみを表示

http

http または ssh プロトコルのパケットを表示

http or ssh

限定された IPアドレスとポート

#IP アドレスとポートは最も一般的に使用されるフィルタリング条件ですが、キャプチャ フィルタとは異なり、表示フィルタは ip.addr == ip アドレスを使用して制限します。

IP の制限

ip.addr == 192.168.110.145

データ パケットのサイズの制限

frame.len > 128

一般的な比較演算子は次のとおりです:

• より大きい>

##未満
##以上>=

• #以下

• 等しい==

• 等しくない!=

• 論理式の役割

  frame.len > 128 and ip.addr == 192.168.110.145

一般的な論理演算子は次のとおりです:

そして、両方の条件が同時に満たされ、

• または、2 つの条件が 1 つを満たす、または

• #いいえ、どの条件も満たされません not

• XOR、次のいずれか条件が満たされている プロトコルを満たさない別の条件 (tcp.port

  tcp.port==80

• 一般的に使用される表示フィルター式

最後に、一般的な表示フィルター式が指定されています

!arp 排除arp数据包
http 只显示http数据包
!tcp.port==80 过滤http数据包
tcp.port==21 or tcp.port==22 ftp或ssh
tcp.flags.syn==1 具有syn标志位的tcp数据包
tcp.flags.rst==1 具有rst标志位的tcp数据包

関連する推奨事項: "Windows の運用とメンテナンス "

以上がWiresharkツールの表示フィルターの使い方の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。