Wireshark でのフィルタリング方法

Wiresharkはネットワーク解析用のツールで、ネットワークパケットのキャプチャや解析に用いられます。以下はWiresharkでよく使われるフィルタの使用方法です。

1. IP アドレスフィルタリング:IP.addr フィルタを使用して、送信元 IP アドレスまたは宛先 IP アドレスを指定できます。たとえば、送信元 IP アドレスが 192.168.1.1 であるパケットをフィルタリングする場合は、ip.src == 192.168.1.1 と記述します。
2. ポート番号フィルタ： TCPパケットまたはUDPパケットの送信側ポート番号または宛先ポート番号を指定するには、tcp.portまたはudp.portフィルタを使用できます。たとえば、宛先ポート番号が80のTCPパケットをフィルタするには、次のようにします。 tcp.dstport==80。
3. プロトコルフィルタリング：プロトコル名フィルタは、指定されたプロトコルのデータパケットをフィルタリングするために使用できます。たとえば、HTTPプロトコルのデータパケットをフィルタリングする：http。
4. データパケットタイプをフィルターリング：指定のデータパケットタイプをフィルターリングできます。例えば、TCPデータのみを含むパケットをフィルターリングします：tcp
5. キーワードフィルターで指定キーワードを含むパケットをフィルタリングすることができます。例えば、”password”キーワードを含むパケットをフィルタリングする: frame contains “password”。
6. 論理演算子を使用したフィルタリングでは、and、or、not などの論理演算子を使用することで複数のフィルタ条件を組み合わせてフィルタリングできます。たとえば、送信元IPアドレスが 192.168.1.1 で宛先ポート番号が 80 のパケットをフィルタリングするには、ip.src == 192.168.1.1 and tcp.dstport == 80 と指定します。
7. フィルタ結果の保存: フィルタの結果を新しいキャプチャ ファイルに保存して、以降の分析に備えることができます。メニューバーから「ファイル」→「名前をつけて保存」を選択した後、保存先とファイル名を選択してください。

これらはWiresharkで使用される一般的なフィルタリング方法であり、これらのフィルタを柔軟に使用する事で、ネットワークデータパケットをより正確にキャプチャして分析する事ができます。