urlscan.io logo urlscan.io
SecurityTrails logo

dminor11th.blogspot.com Open in urlscan Pro
2a00:1450:400f:803::2001  Public Scan

Back to summary
URL: http://dminor11th.blogspot.com/2011/12/pcap-filter-wireshark-filter.html
Submission: On February 17 via manual from JP — Scanned from JP

Form analysis 0 forms found in the DOM

Text Content

TECHNICAL MEMORANDUM

備忘録 #だいぶテキトーです (*ΦωΦ)




2011年12月19日月曜日


TSHARK の CAPTURE FILTER と READ FILTER のマニュアル



Tshark のフィルタは、"CAPTURE FILTER" と "READ FILTER" の二段構えになっており、それぞれが異なる文法にしたがう。

以下は、各文法を詳しく知りたいときに何を参照すればいいか、という話。



MAN TSHARK

とりあえず man tshark をする(CentOS-6.0 にて)。

> CAPTURE FILTER SYNTAX
> See the manual page of pcap-filter(4) or, if that doesn't exits, tcpdump(8).
> READ FILTER SYNTAX
> For a complte table or protocol and protocol fields that are filterable in
> TShark see the wireshark-filter(4) manual page.

…ということで、"pcap-filter(4)" と "wireshark-filter(4)" を参照すればいい。ちなみに CentOS-6.0 の場合
"pcap-filter(4)" は存在しなかった。代わりに "pcap-filter(7)"がみつかった。



例:SYNフラグがセットされているTCPパケットを抽出するフィルタ

キャプチャフィルタ('-f'オプション)の場合

# tshark -i eth0 -f 'tcp[tcpflags] & tcp-syn != 0'

リードフィルタ('-R'オプション)の場合

# tshark -i eth0 -R 'tcp.flags.syn == 1'

キャプチャフィルタのほうは、配列やビット演算風のローレベルな記述になっている。そして、Tshark 以外に tcpdump にも流用できる。



参考

 * man page pcap-filter section 7
 * man page wireshark-filter section 4
 * @IT:連載 基礎から学ぶWindowsネットワーク 第15回 信頼性のある通信を実現するTCPプロトコル(2) 1.TCPパケットの構造




RELATED POSTS


ラベル: linux, shell, sysadmin
メールで送信BlogThis!Twitter で共有するFacebook で共有するPinterest に共有



0 件のコメント:





コメントを投稿





次の投稿 前の投稿 ホーム

登録: コメントの投稿 (Atom)



ブログ アーカイブ

 * ►  2020 (1)
   * ►  4月 (1)

 * ►  2015 (6)
   * ►  6月 (1)
   * ►  5月 (3)
   * ►  2月 (2)

 * ►  2014 (1)
   * ►  4月 (1)

 * ►  2013 (9)
   * ►  12月 (1)
   * ►  11月 (1)
   * ►  10月 (1)
   * ►  9月 (4)
   * ►  2月 (1)
   * ►  1月 (1)

 * ►  2012 (34)
   * ►  12月 (1)
   * ►  10月 (1)
   * ►  9月 (4)
   * ►  8月 (6)
   * ►  7月 (3)
   * ►  6月 (4)
   * ►  5月 (3)
   * ►  3月 (4)
   * ►  2月 (5)
   * ►  1月 (3)

 * ▼  2011 (82)
   * ▼  12月 (7)
     * VMware Fusion のホストオンリーネットワークはハブのように振る舞う(スイッチではないみたい)
     * OpenSSHサーバーの鍵生成
     * OpenSSHのStrictHostKeyChecking=xxx
     * Nmap テスト用ホスト scanme.nmap.org
     * Nmap の性能に関するオプション
     * Tshark の Capture Filter と Read Filter のマニュアル
     * キャプチャデータを一定時間ごとにファイルへ保存(tshark, tcpdump)
   * ►  11月 (5)
   * ►  9月 (4)
   * ►  8月 (15)
   * ►  7月 (10)
   * ►  6月 (6)
   * ►  5月 (7)
   * ►  4月 (9)
   * ►  3月 (6)
   * ►  2月 (8)
   * ►  1月 (5)

 * ►  2010 (66)
   * ►  12月 (6)
   * ►  11月 (10)
   * ►  10月 (9)
   * ►  9月 (4)
   * ►  8月 (9)
   * ►  7月 (12)
   * ►  6月 (15)
   * ►  5月 (1)




ラベル

 * shell (52)
 * emacs (48)
 * linux (48)
 * sysadmin (46)
 * lisp (28)
 * algorithm (26)
 * javascript (26)
 * perl (22)
 * macos (13)
 * php (13)
 * windows (13)
 * standard (10)
 * apache (3)
 * css (3)
 * gcc (3)
 * movabletype (3)
 * vba (3)
 * mercurial (2)
 * java (1)
 * misc (1)
 * python (1)




人気の投稿

 * tar コマンドの xattrs オプション
 * Firefox で PDF ファイルを開けない場合
 * ハードディスクエラーとSMARTのPending sector, reallocated sector
 * iMacros と JavaScript を組み合わせて使う
 * JavascriptでUNIXタイムスタンプを得る




自己紹介

th 詳細プロフィールを表示







Powered by Blogger.