WIRESHARK-FILTER40 cmd
Wireshark display filter チート集
Wireshark の表示フィルタ演算子、IP/port、TCP flags、HTTP、TLS、DNS、DHCP、SIP/RTP/SCTP を、キャプチャフィルタとの差分込みで整理したチート集。
- 更新日
- 2026-05-14
- 参照範囲
- 公式ドキュメント / man page / 主要ベンダーCLI
- 対象実装
- 主要 Linux / BSD / ネットワーク機器 CLI の一般的な実装
- 免責
- OS とバージョン差分は実環境で確認してください。
40 / 40
| Command | Description | Example | Copy |
|---|---|---|---|
display filter vs capture filter | 表示フィルタは取得後の絞り込み、キャプチャフィルタ(BPF)は取得前の絞り込み。 | 表示: ip.addr == 10.0.0.1 / キャプチャ: host 10.0.0.1 | |
== | フィールドが値と等しい。 | ip.addr == 10.0.0.1 | |
!= | フィールドが値と等しくない。 | ip.dst != 10.0.0.1 | |
> < >= <= | 数値比較する。 | http.response.code >= 500 | |
&& | AND 条件。 | ip.src == 10.0.0.10 && tcp.port == 443 | |
|| | OR 条件。 | dns || tls | |
! | NOT 条件。 | !(arp || icmp) | |
contains | 部分文字列を含む。 | http.host contains "example.com" | |
matches | 正規表現に一致する。 | http.request.uri matches "^/api/v[0-9]+/" | |
in | 値集合に含まれる。 | tcp.port in {80 443 8080} | |
ip.addr | 送信元または宛先 IP。 | ip.addr == 10.0.0.1 | |
ip.src | 送信元 IPv4。 | ip.src == 10.0.0.10 | |
ip.dst | 宛先 IPv4。 | ip.dst == 10.0.0.20 | |
ipv6.addr | 送信元または宛先 IPv6。 | ipv6.addr == 2001:db8::1 | |
tcp.port | 送信元または宛先 TCP port。 | tcp.port == 443 | |
udp.port | 送信元または宛先 UDP port。 | udp.port == 53 | |
tcp.flags.syn | SYN パケットを抽出する。 | tcp.flags.syn == 1 && tcp.flags.ack == 0 | |
tcp.analysis.retransmission | TCP 再送を抽出する。 | tcp.analysis.retransmission | |
tcp.stream | 特定 TCP stream を追う。 | tcp.stream == 12 | |
icmp | ICMP を抽出する。 | icmp || icmpv6 | |
http.request.method | HTTP method で絞る。 | http.request.method == "POST" | |
http.host | HTTP Host で絞る。 | http.host == "api.example.com" | |
http.request.uri | URI に含まれる文字列で絞る。 | http.request.uri contains "/login" | |
http.response.code | HTTP status で絞る。 | http.response.code >= 500 | |
http.user_agent | User-Agent を見る。 | http.user_agent contains "curl" | |
tls.handshake.type == 1 | TLS Client Hello。 | tls.handshake.type == 1 | |
tls.handshake.type == 2 | TLS Server Hello。 | tls.handshake.type == 2 | |
tls.handshake.extensions_server_name | SNI で絞る。 | tls.handshake.extensions_server_name == "www.example.com" | |
tls.alert_message | TLS alert を抽出する。 | tls.alert_message | |
tls.record.version | TLS record version を確認する。 | tls.record.version == 0x0303 | |
dns.qry.name | DNS query 名で絞る。 | dns.qry.name contains "example.com" | |
dns.flags.response | DNS response だけ見る。 | dns.flags.response == 1 | |
dns.rcode | DNS 応答コードで絞る。 | dns.rcode != 0 | |
dns.a | A レコード応答で絞る。 | dns.a == 203.0.113.10 | |
dhcp.option.type == 53 | DHCP message type を抽出する。 | dhcp.option.type == 53 | |
bootp.option.dhcp | DHCP パケットを抽出する。 | bootp.option.dhcp | |
sip | SIP シグナリングを抽出する。 | sip && ip.addr == 10.0.0.50 | |
rtp | RTP メディアを抽出する。 | rtp | |
sctp | SCTP を抽出する。 | sctp || sctp.port == 3868 | |
frame.time_delta_displayed | 表示中フレーム間隔で遅延を探す。 | frame.time_delta_displayed > 1 |