個人的にはあまり使わないwiresharkのDisplay Filterだが、知ってると便利な場合もあるのでメモ。
| SYNフラグが設定されたパケットの表示 | tcp.flags.syn==1 |
|---|---|
| SYNフラグが設定されていないパケットの表示 | tcp.flags.syn==0 |
| SYNフラグのみ設定されたパケットの表示 | tcp.flags==2 |
| ACKフラグが設定されたパケットの表示 | tcp.flags.ack==1 |
| ACKフラグが設定されていないパケットの表示 | tcp.flags.ack==0 |
| ACKフラグのみ設定されたパケットの表示 | tcp.flags==16 |
| ACKフラグとSYNフラグが設定されたパケットの表示 | tcp.flags.syn==1 && tcp.flags.ack==1 |
| ACKフラグとSYNフラグのみ設定されたパケットの表示 | tcp.flags==18 |
| ACKフラグかSYNフラグが設定されたパケットの表示 | tcp.flags.syn==1 or tcp.flags.ack==1 |
あとTCP制御フラグは関係無いけど、知ってると便利そうなのをメモ。
| HTTPのリクエスト・メソッドがPOSTのパケットの表示 | http.request.method=="POST" |
|---|---|
| HTTPのステータス・コードが400以上のパケットの表示 | http.response.code>=400 |
Display Filterの参考情報は下記の通り。
- DisplayFilters(wiki.wireshark.org)
- Display Filter Reference(www.wireshark.org)
- 6.4. Building display filter expressions(www.wireshark.org)
- HTTP Packet Capturing to debug Apache(www.askapache.com)
