wiresharkのフィルタリング [ツール]
wiresharkのフィルタリング機能ですが、いつのバージョンからか変更されていました。
wiresharkのフィルタリングにはキャプチャフィルタリングとディスプレイフィルタリングがあり、通常よく目にするのはディスプレイフィルタリングだと思います。
しかし、ディスプレイフィルタリングはその名の通りパケットはバックグラウンドで取り続けているので、たくさんのパケットが流れている際は非常に重くなります。
そこで、最初からパケットを取らないのがキャプチャフィルタリングです。
しかし、以前はインターフェースを選択するときに入力することができたのに、最近のバージョンはありません。
なんじゃ~??と思って探すと、キャプチャフィルタリング自体の追加、編集、削除はツールバーのCpatureの「Capture Filters」で表示され、できます。
しかし、肝心の当該インターフェースにこのキャプチャフィルタリングをそもそもどうやって反映させるかが不明でした。
色々探すと、さきほどの画面上部のインターフェースをダブルクリックすると出てきました。
ここで、キャプチャフィルタリングをしたい項目を選択してOKをクリックすると下図のようになります。
これで、OKをクリックしてCapture Optionsに戻ると、インターフェースの右側にCapture Filterと記載されたところに選択したキャプチャフィルタリングの名称が記載されました。
これでキャプチャフィルタリングが適用されました。
ちなみに、ディスプレイフィルタリングとキャプチャフィルタリングは書き方が異なります。
tcpdumpの起動時オプションで書くのがキャプチャフィルタリングなので、IPアドレスを指定するときは、
ディスプレイフィルタリングだと
ip.addr==192.168.0.1
なのに対して、キャプチャフィルタリングだと
host 192.168.0.1
となりますので、注意が必要です。
wiresharkのフィルタリングにはキャプチャフィルタリングとディスプレイフィルタリングがあり、通常よく目にするのはディスプレイフィルタリングだと思います。
しかし、ディスプレイフィルタリングはその名の通りパケットはバックグラウンドで取り続けているので、たくさんのパケットが流れている際は非常に重くなります。
そこで、最初からパケットを取らないのがキャプチャフィルタリングです。
しかし、以前はインターフェースを選択するときに入力することができたのに、最近のバージョンはありません。
なんじゃ~??と思って探すと、キャプチャフィルタリング自体の追加、編集、削除はツールバーのCpatureの「Capture Filters」で表示され、できます。
しかし、肝心の当該インターフェースにこのキャプチャフィルタリングをそもそもどうやって反映させるかが不明でした。
色々探すと、さきほどの画面上部のインターフェースをダブルクリックすると出てきました。
ここで、キャプチャフィルタリングをしたい項目を選択してOKをクリックすると下図のようになります。
これで、OKをクリックしてCapture Optionsに戻ると、インターフェースの右側にCapture Filterと記載されたところに選択したキャプチャフィルタリングの名称が記載されました。
これでキャプチャフィルタリングが適用されました。
ちなみに、ディスプレイフィルタリングとキャプチャフィルタリングは書き方が異なります。
tcpdumpの起動時オプションで書くのがキャプチャフィルタリングなので、IPアドレスを指定するときは、
ディスプレイフィルタリングだと
ip.addr==192.168.0.1
なのに対して、キャプチャフィルタリングだと
host 192.168.0.1
となりますので、注意が必要です。
コメント 0