Eiji James Yoshidaの記録

パケット作りが趣味のセキュリティ技術者の記録(2006年9月6日執筆開始)。当ブログはGoogle AnalyticsとAmazonアソシエイトを利用しています。

wiresharkでTCP制御フラグを指定してパケットを表示する方法(Display Filter)

個人的にはあまり使わないwiresharkのDisplay Filterだが、知ってると便利な場合もあるのでメモ。

SYNフラグが設定されたパケットの表示 tcp.flags.syn==1
SYNフラグが設定されていないパケットの表示 tcp.flags.syn==0
SYNフラグのみ設定されたパケットの表示 tcp.flags==2
ACKフラグが設定されたパケットの表示 tcp.flags.ack==1
ACKフラグが設定されていないパケットの表示 tcp.flags.ack==0
ACKフラグのみ設定されたパケットの表示 tcp.flags==16
ACKフラグとSYNフラグが設定されたパケットの表示 tcp.flags.syn==1 && tcp.flags.ack==1
ACKフラグとSYNフラグのみ設定されたパケットの表示 tcp.flags==18
ACKフラグかSYNフラグが設定されたパケットの表示 tcp.flags.syn==1 or tcp.flags.ack==1

あとTCP制御フラグは関係無いけど、知ってると便利そうなのをメモ。

HTTPのリクエスト・メソッドがPOSTのパケットの表示 http.request.method=="POST"
HTTPのステータス・コードが400以上のパケットの表示 http.response.code>=400

Display Filterの参考情報は下記の通り。