のいじーメモ

勉強したことを忘れないうちにメモしていくためのブログ

wiresharkを使うときの便利なフィルタ

 

ディスプレイフィルタの構文

ディスプレイフィルタの構文説明

ip.addr == 10.0.0.1

送信元、もしくは送信先が10.0.0.1であるパケットを表示

ip.addr==10.0.0.1 && ip.addr==10.0.0.2

10.0.0.1と10.0.0.2間の通信を表示

http or dns

HTTP、もしくはDNSを表示

tcp.port==4000

ポートが4000の物を表示

tcp.flags.reset==1

TCPのリセットを表示

http.request

HTTP GETを表示

tcp contains traffic

TCPパケットに’traffic’という単語を含んでいる物を表示。ユーザーIDといった特定の文字列を含んでいるパケットを調べる際に便利。

!(arp or icmp or dns)

ARPやICMPやDNSでないプロトコルを表示。 調べたいパケットに集中することができる。

udp contains 33:27:58

“0x33 0x27 0x58”を含むUDPを表示

tcp.analysis.retransmission

TCPのRetransmission (= 再送) を表示。 アプリのパフォーマンス問題、パケットロス時のトラブルシューティングに便利。