表示フィルタ
Wireshark において、画面上に表示されるパケットを絞り込むための表示フィルタ(以下の画像の赤枠部分に入力する内容)についてまとめます。
フィルタ項目
| 項目 | フィルタ表記 | 条件文例 |
| 送信元or宛先 IP アドレス | ip.addr | ip.addr == 10.20.30.40 (IP指定)ip.addr == 10.20.30.0/24 (セグメント指定) |
| 送信元 IP アドレス | ip.src | ip.src == 10.20.30.40 (IP指定)ip.src == 10.20.30.0/24 (セグメント指定) |
| 宛先 IP アドレス | ip.dst | ip.dst == 10.20.30.40 (IP指定)ip.dst == 10.20.30.0/24 (セグメント指定) |
| 送信元or宛先 MAC アドレス | eth.addr | eth.addr == 84:af:ec:74:b8:6f |
| 送信元 MAC アドレス | eth.src | eth.src == 84:af:ec:74:b8:6f |
| 宛先 MAC アドレス | eth.dst | eth.dst == 84:af:ec:74:b8:6f |
| プロトコル | <プロトコル名> | icmpdns※対象プロトコル名のみを入力 |
| TCP 送信元ポート番号 | tcp.srcport | tcp.srcport == 58257 |
| TCP 宛先ポート番号 | tcp.dstport | tcp.dstport == 443 |
| UDP 送信元ポート番号 | tcp.srcport | udp.srcport == 50118 |
| UDP 宛先ポート番号 | tcp.dstport | udp.dstport == 53 |
フィルタ条件
| フィルタ条件 | フィルタ表記 | 条件文例 |
| 等しい | == | ip.addr == 10.20.30.40 |
| 異なる | ! != | 送信元/送信先のどちらも指定 IP でない:!(ip.addr == 10.20.30.40) 送信元が指定 IP でない: ip.src != 10.20.30.40 |
| 以上 (より大きい) | >= (>) | TCP 送信元ポート番号が 1000 以上tcp.srcport >= 1000 |
| 以下 (より小さい) | <= (<) | TCP 宛先ポート番号が 100 以下tcp.dstport <= 100 |
| AND (かつ) | && | 送信元が指定 IP、かつ ICMP(ip.src == 10.20.30.40) && icmp |
| OR (または) | || | 送信元が指定したいずれかの IP(ip.src == 10.20.30.40) || (ip.src == 10.20.30.50) |
Info 内容を検索
Wireshark 画面上で CTRL+f を押下すると、以下画像の赤枠の部分が表示されます。この枠内の入力ボックスに検索したい文字列を入力して検索すると、表示されているパケットの Info 内容をもとにパケットを検索できます。以下画像では「google」を含むパケットを検索しています。
検索されたパケットは上画像の橙枠部分のようにマークされます。
