最高のWiresharkフィルター
以前はEtherealと呼ばれていたWiresharkは、ユーザーが特定のネットワークとの間で送受信される情報を監視および分析するのに役立つ強力なオープンソースプログラムです。このソフトウェアは、ほとんどのタイプのネットワークで数百のプロトコルからの複雑なデータを処理し、それらをデータパケットに編成できます。ただし、ネットワークに突然障害が発生したり、問題が発生したりすると、パケットの検索に手間がかかり、多くの時間と労力が必要になる可能性があります。そこで、Wiresharkの便利な性質が役に立ちます。
このソフトウェアは、大量の情報をすばやくふるいにかけることができるフィルターをサポートしています。キャプチャしたファイルを手動でチェックする代わりに、チェックするデータに移動するフィルターを適用できます。
最高のWiresharkフィルターと、後でそれらをブックマークする方法について学ぶために読んでください。
Wiresharkフィルター
Wiresharkには2種類のフィルターがあります。1つ目はキャプチャフィルターで、2つ目は表示フィルターです。それらは異なる構文で動作し、特定の目的を果たします。
キャプチャフィルタは、キャプチャ操作が開始される前に設定されます。フィルタ設定をキャプチャして、関心のあるトラフィック分析のみを記録して保存します。キャプチャ操作が開始されると、このフィルタータイプの変更は不可能になります。
一方、表示フィルタには、キャプチャされたすべてのパケットに適用されるオプションが含まれています。キャプチャ操作を開始する前にこのタイプのフィルターを設定してから、調整または無効にすることができます。また、運転中に設定することもできます。表示フィルターはデータをトレースバッファーに格納し、関心のないトラフィックを非表示にして、表示したい情報のみを表示します。
Wiresharkには、ユーザーがネットワークをより適切に制御するのに役立つ組み込みフィルターの印象的なライブラリがあります。既存のフィルターにアクセスして使用するには、プログラムのツールバーの下にある[表示フィルターの適用]セクションに正しい名前を入力する必要があります。キャプチャフィルターを見つけて適用する場合は、ウェルカム画面の中央にある[キャプチャの入力]セクションを使用します。
Wiresharkは包括的なフィルタリング機能を誇っていますが、正しい構文を覚えるのは難しいことがよくあります。適切なフィルターを入力するのに苦労すると、貴重な時間を無駄にします。
しかし、あなたは幸運です。プログラムを最大限に活用し、保存されたデータの山を分析する際の当て推量を排除するのに役立つ、最高のWiresharkフィルターのリストをまとめました。
最高のWiresharkフィルター
プログラムをマスターするのに役立ついくつかのフィルターを見てみましょう。
ip.address == xxxx
上記のフィルターは、指定されたIPアドレスを含むキャプチャされたパケットのみを表示します。これは、1種類のトラフィックをチェックするための便利なツールです。フィルタを適用すると、送信トラフィックが処理され、探している送信元アドレスまたはIPアドレスに一致するトラフィックが特定されます。
宛先でフィルタリングする場合は、ip.dst==xxxxオプションを使用します。
ip.src == xxxxオプションは、ソースでフィルタリングするのに役立ちます。
ip.addr == xxxx && ip.addr == xxxx
この行は、2つのプリセットIPアドレス間にダイアログフィルターを設定します。これは、選択した2つのネットワークまたはホスト間のデータを検証するために非常に役立ちます。フィルタは無関係なデータを無視し、最も関心のある情報を見つけることにのみ焦点を当てます。
行ip.src==xxxx && ip.dst == xxxxを使用して、宛先をフィルタリングします。
httpまたはdns
このフィルターを適用すると、各DNSまたはHTTPプロトコルが表示されます。これは、学習したい特定のプロトコルに集中できるようにする時間節約フィルターです。たとえば、疑わしいFTPトラフィックを見つける必要がある場合は、「ftp」のフィルターを設定するだけです。Webページが表示されない理由を確認するには、フィルターを「dns」に設定します。
tcp.port == xxx
上記のフィルターは、検索を特定の宛先または送信元ポートに絞り込みます。フィルタは、キャプチャされたパケット全体を確認する代わりに、1つのポートから着信または発信するトラフィックに関するデータを生成します。これは、時間が足りないときにタスクに信頼できる最も便利なフィルターの1つです。
tcp.flags.reset == 1
このフィルターを適用すると、すべてのTCPリセットが表示されます。キャプチャされた各パケットには、TCPが関連付けられています。値が1の場合、この接続の使用を停止する必要があることを受信側PCに通知します。TCPリセットにより接続が即座に終了するため、これは最も印象的なWiresharkフィルターの1つです。
tcpにはxxxが含まれています
このフィルターは、指定された用語を含むすべてのTCPキャプチャパケットを検索します。要素がキャプチャのどこに表示されるか疑問に思っている場合は、「xxx」の代わりにその名前を入力してください。フィルタは用語のすべてのインスタンスを検出するため、パッケージを読む手間が省けます。たとえば、「xxx」を「traffic」に置き換えると、「traffic」を含むすべてのパケットが表示されます。このフィルターの最適な使用法は、特定のユーザーIDまたは文字列をスキャンすることです。
!(arpまたはicmpまたはdns)
上記のフィルターは、特定のプロトコルを除外するように設計されています。これを使用して、不要なarp、dns、またはicmpプロトコルを削除します。気が散るデータをブロックできるため、より重要な情報の分析に集中できます。
tcp.time_delta>。250
このフィルターは、ストリーム内のデルタ時間が250msを超えるTCPパケットを表示します。
フィルタを使用する前に、TCP変換タイムスタンプを計算する必要があることに注意してください。会話の待ち時間を計算することはそれほど難しくありませんが、Wiresharkの高度な知識が必要です。
tcp.analysis.flags &&!tcp.analysis.window_update
このフィルターは、再送信、ヌルウィンドウ、およびリプレイ攻撃を1つのトレースで表示するのに役立ちます。これは、アプリケーションのパフォーマンスの低下やパケット損失を見つけるのに最適な方法です。
Wiresharkフィルターを使用するためのヒント
正しいフィルター構文を覚えていない場合、イライラし、貴重なデータをすばやく見つけることができなくなる可能性があります。
Wiresharkのオートコンプリート機能が問題の解決に役立つ場合があります。たとえば、フィルタが「tcp」で始まることが確実な場合は、適切な検索フィールドにこの情報を入力します。Wiresharkは、「tcp」で始まるフィルターのリストを作成します。正しいエイリアスが見つかるまで検索結果をスクロールします。
フィルタを見つける別の方法は、入力フィールドの横にある「ブックマーク」オプションです。[表示フィルターの管理]または[フィルター式の管理]を選択すると、フィルターを変更、追加、または削除できます。複雑な構文の略語を覚えるのに特に自信がない場合は、「ブックマーク」オプションは、一般的に使用されるWiresharkフィルターを取得するための便利なツールです。
複雑なキャプチャフィルターを再入力する代わりに、次の手順に従ってブックマークメニューに保存します。
- Wiresharkを起動し、「ブックマーク」オプションに移動します。
- [表示フィルターの管理]をクリックしてダイアログボックスを開きます。
- ダイアログボックスで対応するフィルターを見つけてタップし、[+]ボタンをクリックして保存します。
表示フィルターを保存するために必要なことは次のとおりです。
- Wiresharkを開き、「ブックマーク」オプションに移動します。
- [表示フィルターの管理]を選択してダイアログボックスを開きます。
- オプションのリストをスクロールし、関連するフィルターをダブルタップし、[+]ボタンをクリックしてブックマークとして保存します。
特定のデータの分析を急いでいる場合は、入力フィールドの横にある下矢印をクリックできます。このアクションにより、以前に使用されたフィルターのリストが作成されます。
簡単なデータ分析のためにフィルターを使用する
Wiresharkは、その便利なフィルターのおかげで、最も人気のあるネットワークプロトコルアナライザーの1つになりました。これらを使用して時間を節約し、IPアドレスや16進値などの特定のパラメーターをすばやく見つけることができます。頻繁に使用するフィルターのさまざまな名前を覚えるのが難しい場合は、後で使用できるようにブックマークとして保存してください。
Wiresharkフィルターをどのくらいの頻度で使用しますか?キャプチャまたは表示フィルターにもっと依存していますか?上記のオプションのいくつかを使用したことがありますか?以下のコメントでお知らせください。
コメントを残す