Wireshark表示フィルタ
IPアドレス10.1.1.1が含まれるパケットを表示する。
ip.addr == 10.1.1.1
10.1.1.0/24に含まれるIPアドレスのパケットを表示する。
ip.addr == 10.1.1.0/24
IPアドレス10.1.1.1と10.1.1.2の通信パケットを表示する。
ip.addr == 10.1.1.1 && ip.addr == 10.1.1.2
※「&&」の代わりに「and」でもOK
送信元IPが10.1.1.1のパケットを表示する。
ip.src == 10.1.1.1
宛先IPが10.1.1.1のパケットを表示する。
ip.dst == 10.1.1.1
イーサネットアドレスff:ff:ff:ff:ff:ff(ブロードキャスト)のフレームを表示する。
eth.addr == ff:ff:ff:ff:ff:ff
DNSもしくはHTTPのパケットを表示する。
dns || http
※「||」の代わりに「or」でもOK
DNSとHTTP以外のパケットを表示する。
!(dns || http)
※「!」の代わりに「not」でもOK
ポートTCP80のパケットを表示する。
tcp.port == 80
送信元ポートTCP80のパケットを表示する。
tcp.srcport == 80
宛先ポートTCP80のパケットを表示する。
tcp.dstport == 80
TCPポート1024未満のパケットを表示する。
tcp.port < 1024
ACKフラグが立っているパケットを表示する。
tcp.flags.ack == 1
RSTフラグが立っているパケットを表示する。
tcp.flags.reset == 1
宛先IPが10.1.1.1かつ、宛先ポートTCP80のパケットを表示する。
ip.dst == 10.1.1.1 && tcp.dstport == 80
HTTPリクエストメソッドがGETのパケットを表示する。
http.request.method == "GET"
特定の日時以降のパケットを表示する。
frame.time > "Jun 5, 2021 17:18:45"
特定の文字列が含まれるTCPパケットを表示する。
tcp contains www.free-ne.com
TCPの再送パケットを表示する。
tcp.analysis.retransmission