Wiresharkパケットキャプチャー検索方法メモ

macでwireshark。Yosemiteでうまく起動しないというブログがあったのですが、私のPCは、確か1行叩いただけで、問題なく起動した。

/Applications/Wireshark.app/Contents/MacOS/Wireshark

というコマンドだったかなぁ・・・

 

●source IP(送信元)か、destination IP(送信先)のどちらかのIPを検索する方法。*IPが192.168.10.100とする。

ip.addr==192.168.10.100

●source IPが192.168.10.100を検索する方法。

ip.src==192.168.10.100

●destination IPが192.168.10.100を検索する方法。

ip.dst==192.168.10.100

●source IPga192.168.10.100以外を検索する方法。× ip.addr!=192.168.10.100

!(ip.addr==192.168.10.100)

●192.168.10.0〜192.168.10.255の範囲にあるものだけ検索する方法。

ip.addr==192.168.10.0/24

●MACアドレス(ff:ff:ff:ff:ff:ff)を検索する方法。eth.addr==ff-ff-ff-ff-ff-ffでも可。

eth.addr==ff:ff:ff:ff:ff:ff

●80ポートを検索する方法。

tcp.port==80

●destination port(送信先ポート)が80を検索する方法。

tcp.dstport==80

●source port(送信元ポート)が80を検索する方法。

tcp.srcport==80

●HTTP GETを検索する方法。

http.request

●HTTPやDNSを検索する方法。

http or dns

●TCPパケットに「traffic」というキーワードを検索する方法。

tcp contains traffic

●TCPのSYNパケットだけ検索する方法。

tcp.flags.syn==1

●TCPのFINパケットだけ検索する方法。

tcp.flags.fin==1

●TCPのRESETパケットだけ検索する方法。

tcp.flags.reset==1

 

 

*論理演算子について

&& and AかつB
|| or AまたはB
^^ nor AまたはBの中から、AかつBを除いたもの
! not Aではない