ip-portペアのWiresharkフィルタリング(ディスプレイフィルター)
WiresharkでIPポートの表示フィルターを作成する方法を知りたいのですが。
したがって、たとえば、ip-port 10.0.0.1:80をフィルタリングして、10.0.0.1:80との間のすべての通信を検出しますが、10.0.0.1:235からポート80上の一部のIPへの通信は検出しません。
ポートをサポートするプロトコルのIPポートペアを除外したいと思います。 tcpまたはudpのいずれか。そのip-porペアは、任意のポート上の他のIPに接続できます。
(ip.src == XXX.XXX.XXX.XXX && (tcp.srcport == YYY || udp.srcport == YYY)) || (ip.dst == XXX.XXX.XXX.XXX && (tcp.dstport == YYY || udp.dstport == YYY)一致します:
- iPv4アドレスXXX.XXX.XXX.XXXおよびTCPまたはUDPポートYYY;
- iPv4アドレスXXX.XXX.XXX.XXXおよびTCPまたはUDPポートYYY;
それがあなたが望むものであるかのように聞こえます。 (それがあなたが望むものでない場合、あなたはあなたが望むものについてさらに具体的かつ正確でなければならないでしょう。)
このフィルターを試してください:
(ip.src==10.0.0.1 and tcp.srcport==80) or (ip.dst==10.0.0.1 and tcp.dstport==80)
Tcp/ipパケットには2つのポートと2つのIPがあるため、必要な送信元ソケットと宛先ソケットを正確に指定する必要があります。
IPプロトコルは、ポートのようなものを定義していません。 IP上の2つのプロトコルには、ポートTCPとUDPがあります。
一方のポート80からもう一方のポート80に送信されたTCP接続のパケットのみを表示する場合は、次の表示フィルターを使用できます。
tcp.srcport==80 && tcp.dstport==80
同様に、UDP通信のフィルターを定義できます。次のような追加条件でフィルターを絞り込むことができます
ip.srcaddr==1.2.3.4
または
ip.addr==55.66.77.88
Cスタイルの演算子&&および||を使用することもできます複雑なフィルターを作成するための括弧もあります。
(ip.addr==128.100.1.1 && tcp.port==80) || (ip.addr==10.1.2.1 && udp.port==68)
実際にフィルタリングしたいのはあなたの決定です。