Ethereal_Filterの基本条件設定設定

このページは乱ことNobuoNakakoが運用する「Etherealを使おう」の一部です。お時間があれば表紙も訪れてやってください

リンク等についてはこちら。間違いを見つけた時や「ここはこうした方が良い」等の意見は遠慮なくこちらまで。

The Ethereal manual　（WINDOWS Var0.9.9）

Filterの基本条件設定

フィルタリング

ここでは下記ウィンドウの様なフィルタ設定について解説します。

この画面の出し方については「キャプチャにフィルタをかける」もしくは「表示結果にフィルタをかける」を参照して下さい。

設定方法について

さて、ややこしい話しですが[Filter]を設定する方法は2つあります。

上記の[Capture]→[Start...]をクリックしてキャプチャにフィルタをかける方法とメインフレームの左下にある[Filter]欄に条件を設定する下記の結果表示にフィルタをかける方法です。

この２つの方法、実は条件の記載方法が若干変わります。そこで下記の様に条件の記載を分けます。

	[Capture]→[Start...]をクリックする方法を「設定１」とします。(キャプチャする前に条件が反映される)
	メインフレームの[Filter]欄に条件を記載する方法を「設定2」とします。（キャプチャの表示結果に対し条件を反映させる）

送信先と送信元について

src	SOURCEの事。送信元を言います。A→Bの信号の場合Aがこのsrcになります。
dst	DESTINATIONの事。送信先を言います。A→Bの信号の場合Bがこのdstになります。

この送信先と送信先はありとあらゆる条件に使用する事ができます。

送信先も送信元も指定しない場合は送受信両方共という条件になります。

IP(ホスト)アドレスの指定

IPアドレス又はホストの指定を行います。条件としては下記の様になります。

host <IP又はホスト>

上記の場合指定したIPが関わったもの全てという事になります。送信元のIPを指定したい場合は下記の様にします。

src host <IP又はホスト>

当然ホストで指定する場合名前が引けている事（DNSが生きている事）が条件になります。

192.168.1.10が送信元の条件の場合は下記の通り

src host 192.168.1.10

IPアドレスを指定する場合は下記の様にします。

ip.addr == <IPアドレス>

送信元のIPを指定したい場合は下記の様にします。

ip.src == <IPアドレス>

192.168.1.10が送信元の条件の場合は下記の通り

ip.src == 192.168.1.10

TCP/UDPポートの指定

TCP/UDPポートを指定した条件の設定になります。

<tcpかudpの指定> port <ポートNo>

基本的にTCP/UDPの指定がなければ両方を使用したポートという事になります。

例えば送信先のポートがHTTPの80を指定したい場合は下記の様にします。

dst port 80

設定2の方法でのTCP/UDPの指定は下記の通りです。

<tcpかudpの指定>.port == <ポートNo>

送信先のポートがTCP/HTTPの80を指定したい場合は下記の様にします。

tcp.srcprot == <ポートNo>

条件を連結する

下記の様な条件を連結する事も可能です。

and	～と～に一致する条件
or	～又は～に一致する条件
gt	～より大きい
lt	～より小さい
ge	～と同じか大きい
le	～と同じか小さい
eg	～と等しい条件
ne	～と等しくない条件

例えば送信元が192.168.1.10のPCで且つ送信先がFTPの21ポートの部分だけキャプチャするという条件の場合は下記の様にします。

src host 192.168.1.10 and dst 21

この様に連結を使用すると非常に無駄を省いた結果を出す事ができます。

==	～と等しい条件
!=	～と等しくない条件
>	～より大きい
<	～より小さい
>=	～と同じか大きい
<=	～と同じか小さい
&&	～と～に一致する条件
\|\|	～又は～に一致する条件

例えば送信元が192.168.1.10のPCで且つ送信先がUDP/FTPの21ポートの部分だけキャプチャするという条件の場合は下記の様にします。

ip.src == 192.168.1.10 && udp.dstport == 21

その他のフィルタ設定については「その他のフィルタ設定方法」を参照して下さい。