■フィルタ
・TCPのSYNパケットのみ表示
tcp.flags.syn==1
・TCPのFINパケットのみ表示
tcp.flags.fin==1
・TCPのRESETパケットのみ表示
tcp.flags.reset==1
・TCPのソースポートを指定
tcp.srcport==80
・TCPの宛先ポートを指定
tcp.dstport==80
■使用例
その1:WEBサーバ(ポート80)を除く通信の開始(SYN)と終了(FIN)のパケットだけ確認したい。
(tcp.flags.syn==1 || tcp.flags.fin==1 ) && !(tcp.port==80)
その2:TCP通信のお勉強フィルタ(アドレスの取得から通信の開始、終了まで確認)
bootp || arp|| tcp.flags.syn==1 || tcp.flags.fin==1
■VoIPの試験のフィルタ
・VoIP通信をグラフ表示したい!!
1.メニューから Telephony > VoIP Calls をクリック。
2.グラフ表示したい呼を選択してウィンドウ下の Graph をクリック
3. グラフ表示
SAVE ASをクリックして、グラフをテキストで書き出すことも可能。これは結構使います♪
■起動時のオプション
・特定のインターフェースを指定してWiresharkを起動したい!!
Wiresharkのショートカットからプロパティを選択してプロパティウィンドウを表示。リンク先でオプションを指定する。
"C:\Program Files\Wireshark\wireshark.exe" -k -f "ether src host 00-11-22-33-44-55" -i "\Device\NPF_{******************}"
・起動時オプションの意味
-k: 起動してすぐキャプチャを開始
-f: キャプチャフィルタの指定(ディスプレイフィルタでないので注意!!)
-i: インターフェース名の指定
■インターフェース名の取得方法
メニューから、Capture -> Optionsをクリックして表示されるインターフェースから、”¥Device以下の情報がインターフェース名となる。
・リンク
テクニカルにつれ”ず”れる:Wiresharkのフィルタの書き方
Wireshark
Wireshar:Man
No comments:
Post a Comment