Wireshark tips †
Filter†
- IPアドレス(送信元or宛先) ip.addr==xxx.xxx.xxx.xxx
- IPアドレス(送信元) ip.src==xxx.xxx.xxx.xxx
- IPアドレス(宛先) ip.dst==xxx.xxx.xxx.xxx
- ポート(送信元or宛先) tcp.port==80
- ポート(送信元) tcp.srcport==80
- ポート(宛先) tcp.dstport==80
- 否定条件(=「~は除く」) !(ip.addr==192.168.1.1)
- 複合条件(AND)(=「and」でつなげる。) ip.addr==xxx.xxx.xxx.xxx and tcp.port==80
- 複合条件(OR)(=「or」でつなげる。) ip.addr==xxx.xxx.xxx.xxx or tcp.port==80
時刻表示の変更†
キャプチャ画面のTimeカラムの単位は,デフォルトだと、Seconds Since Beginning of Capture(=キャプチャ開始時からの累積秒数)となっている。
これを日時表示に変更するには,編集メニュー-View-TimeDisplayFormat-Date and Time of Day(=日時)に変更する。
また,秒数の表示単位はデフォルトだと、MicroSeconds(=マイクロ秒)となっている。
これを秒単位の表示に変更するには,編集メニュー-View-TimeDisplayFormat-Seconds(=秒)に変更する。
キャプチャしたパケット群の中から、任意の文字列を検索する方法†
- 編集メニュー-Edit-FindPacket押下。
- FindPacket画面にて、下記のように設定して、Find押下。
FindエリアのBy:項目: String
の入力エリア: 検索したい任意の文字列
SearchInエリア : Packet details
- パケットの検索
- 9999 という文字列を持つパケットだけを抽出するには Filterに次のように書く
- data matches 9999
- aN という文字列を持ってて、ENという文字列を持ってないパケットを抽出するには
- data matches aN && !(data matches EN)
- tcp contains traffic
- TCPパケットに"traffic"という単語を含んでいる物を表示。
- ユーザーIDといった特定の文字列を含んでいるパケットを調べる際に便利。
- !(arp or icmp or dns)
- ARPやICMPやDNSでないプロトコルを表示。
- 調べたいパケットに集中することができる。
- udp contains 33:27:58
- "0x33 0x27 0x58"を含むUDPを表示
- frame.len パケット長 (表示値 実際のデ-タ長より長い)
- tcp.len TCPパケット長(表示値 実際デ-タ長より長い)
- デ-タ+TCP/IPヘッダ(54) イーサーネット14,IP20,TCP20
- udp.length UDPパケット長(表示値 実際デ-タ長より長い)
- デ-タ+24+UDP/IPヘッダ(42) イーサーネット14,IP20,UDP8,
- tcp.analysis.retransmission
- TCPのRetransmission (= 再送) を表示.
- アプリのパフォーマンス問題、パケットロス時のトラブルシューティングに便利。
追記 2014-11-04†
frameを使ったフィルタリングについてあっちに記載。
![[PukiWiki]](image/saru_tr.png "[PukiWiki]")