Wireshark表示フィルタ チートシート
Wiresharkの表示フィルタとキャプチャフィルタのクイックリファレンス。プロトコルフィルタ、HTTP、DNS、TCP分析、統計、エクスポートを網羅
67 件のコマンド
ip.addr == {ip}指定IPアドレスのパケットを表示
ip.addr == 192.168.1.1ip.src == {ip}送信元IPでフィルタ
ip.src == 10.0.0.1ip.dst == {ip}宛先IPでフィルタ
ip.dst == 10.0.0.2ip.addr == {cidr}サブネット範囲でフィルタ
ip.addr == 192.168.1.0/24eth.addr == {mac}MACアドレスでフィルタ
eth.addr == aa:bb:cc:dd:ee:ffframe.len > {n}指定バイト以上のフレーム
frame.len > 1000frame.time >= "date"指定時刻以降のフレーム
frame.time >= "2024-01-01 00:00:00"frame.number == {n}指定フレーム番号を表示
frame.number == 100!(filter)フィルタの否定(NOT)
!(ip.addr == 10.0.0.1)filter1 && filter2AND条件でフィルタ結合
ip.src == 10.0.0.1 && tcp.port == 80filter1 || filter2OR条件でフィルタ結合
tcp.port == 80 || tcp.port == 443host {ip}特定ホストのトラフィックをキャプチャ
host 192.168.1.1net {cidr}ネットワーク範囲でキャプチャ
net 192.168.1.0/24port {n}特定ポートのトラフィック
port 443portrange {a}-{b}ポート範囲でキャプチャ
portrange 8000-9000tcpTCPトラフィックのみキャプチャ
tcpudpUDPトラフィックのみキャプチャ
udpnot broadcastブロードキャストを除外
not broadcast and not multicasttcpTCPプロトコルのパケット
tcpudpUDPプロトコルのパケット
udpicmpICMPプロトコルのパケット
icmparpARPプロトコルのパケット
arptlsTLS/SSLプロトコルのパケット
tlssshSSHプロトコルのパケット
sshftpFTPプロトコルのパケット
ftpsmtpSMTPプロトコルのパケット
smtphttpHTTPプロトコルのパケット
httphttp.requestHTTPリクエストのみ表示
http.requesthttp.responseHTTPレスポンスのみ表示
http.responsehttp.request.method == "GET"HTTP GETリクエスト
http.request.method == "GET"http.request.method == "POST"HTTP POSTリクエスト
http.request.method == "POST"http.request.uri contains "path"URIに文字列を含むリクエスト
http.request.uri contains "/api"http.host == "domain"指定ドメインへのHTTPリクエスト
http.host == "example.com"http.response.code == {n}指定HTTPステータスコード
http.response.code == 404http.response.code >= 400HTTPエラーレスポンス
http.response.code >= 400http.content_type contains "json"JSONコンテンツのHTTPパケット
http.content_type contains "json"dnsDNSプロトコルのパケット
dnsdns.qry.name == "domain"指定ドメインのDNSクエリ
dns.qry.name == "example.com"dns.qry.name contains "str"文字列を含むDNSクエリ
dns.qry.name contains "google"dns.qry.type == 1Aレコードクエリ
dns.qry.type == 1dns.qry.type == 28AAAAレコードクエリ
dns.qry.type == 28dns.qry.type == 15MXレコードクエリ
dns.qry.type == 15dns.flags.response == 1DNS応答のみ表示
dns.flags.response == 1dns.flags.rcode != 0DNSエラー応答
dns.flags.rcode != 0tcp.port == {n}指定TCPポートのパケット
tcp.port == 443tcp.flags.syn == 1SYNフラグ付きパケット
tcp.flags.syn == 1tcp.flags.reset == 1RSTフラグ付きパケット
tcp.flags.reset == 1tcp.flags.fin == 1FINフラグ付きパケット
tcp.flags.fin == 1tcp.analysis.retransmissionTCP再送パケット
tcp.analysis.retransmissiontcp.analysis.duplicate_ack重複ACKパケット
tcp.analysis.duplicate_acktcp.analysis.zero_windowゼロウィンドウパケット
tcp.analysis.zero_windowtcp.stream eq {n}指定TCPストリームを追跡
tcp.stream eq 5tcp.window_size < {n}ウィンドウサイズが小さいパケット
tcp.window_size < 1000Statistics > Conversationsホスト間の通信一覧を表示
Statistics > ConversationsStatistics > Endpointsエンドポイント統計を表示
Statistics > EndpointsStatistics > Protocol Hierarchyプロトコル階層の統計
Statistics > Protocol HierarchyStatistics > I/O GraphsI/Oグラフを表示
Statistics > I/O GraphsStatistics > Flow Graphフローグラフを表示
Statistics > Flow GraphAnalyze > Follow > TCP StreamTCPストリームを追跡
Analyze > Follow > TCP StreamAnalyze > Expert Informationエキスパート情報を表示
Analyze > Expert InformationFile > Export Objects > HTTPHTTPオブジェクトをエクスポート
File > Export Objects > HTTPFile > Export Packet Dissectionsパケット解析結果をエクスポート
File > Export Packet Dissections > As CSVtshark -r {file}コマンドラインでpcapファイルを読み込み
tshark -r capture.pcaptshark -Y "filter"コマンドラインで表示フィルタ適用
tshark -Y "http.request" -r capture.pcaptshark -T fields -e {field}特定フィールドを抽出
tshark -T fields -e ip.src -e ip.dst -r cap.pcapeditcap -c {n} {in} {out}pcapファイルを分割
editcap -c 1000 large.pcap split.pcapmergecap -w {out} {files}複数pcapファイルを結合
mergecap -w merged.pcap file1.pcap file2.pcap