InfraLab
WIRESHARK-FILTER40 cmd

Wireshark display filter チート集

Wireshark の表示フィルタ演算子、IP/port、TCP flags、HTTP、TLS、DNS、DHCP、SIP/RTP/SCTP を、キャプチャフィルタとの差分込みで整理したチート集。

更新日
2026-05-29
参照範囲
公式ドキュメント / man page / 主要ベンダーCLI
対象実装
主要 Linux / BSD / ネットワーク機器 CLI の一般的な実装
免責
OS とバージョン差分は実環境で確認してください。

このチートシートの使いどころ

Wireshark display filter チート集は、Wireshark の表示フィルタ演算子、IP/port、TCP flags、HTTP、TLS、DNS、DHCP、SIP/RTP/SCTP を、キャプチャフィルタとの差分込みで整理したチート集。 対象は公式ドキュメント、man page、主要ベンダー CLI で確認できる現行の一般的な実装です。カテゴリは基本、IP・ポート、HTTP・TLS、DNS・DHCP、VoIP・その他を中心に、40件のコマンドや値を用途別に引けます。障害調査、設定変更前の確認、作業メモ作成で、Wireshark、display filter、packet、パケット解析、tcpに関連する操作を短時間で探すために使います。

40 / 40

display filter vs capture filter

表示フィルタは取得後の絞り込み、キャプチャフィルタ(BPF)は取得前の絞り込み。

Example
表示: ip.addr == 10.0.0.1 / キャプチャ: host 10.0.0.1
==

フィールドが値と等しい。

Example
ip.addr == 10.0.0.1
!=

フィールドが値と等しくない。

Example
ip.dst != 10.0.0.1
> < >= <=

数値比較する。

Example
http.response.code >= 500
&&

AND 条件。

Example
ip.src == 10.0.0.10 && tcp.port == 443
||

OR 条件。

Example
dns || tls
!

NOT 条件。

Example
!(arp || icmp)
contains

部分文字列を含む。

Example
http.host contains "example.com"
matches

正規表現に一致する。

Example
http.request.uri matches "^/api/v[0-9]+/"
in

値集合に含まれる。

Example
tcp.port in {80 443 8080}
ip.addr

送信元または宛先 IP。

Example
ip.addr == 10.0.0.1
ip.src

送信元 IPv4。

Example
ip.src == 10.0.0.10
ip.dst

宛先 IPv4。

Example
ip.dst == 10.0.0.20
ipv6.addr

送信元または宛先 IPv6。

Example
ipv6.addr == 2001:db8::1
tcp.port

送信元または宛先 TCP port。

Example
tcp.port == 443
udp.port

送信元または宛先 UDP port。

Example
udp.port == 53
tcp.flags.syn

SYN パケットを抽出する。

Example
tcp.flags.syn == 1 && tcp.flags.ack == 0
tcp.analysis.retransmission

TCP 再送を抽出する。

Example
tcp.analysis.retransmission
tcp.stream

特定 TCP stream を追う。

Example
tcp.stream == 12
icmp

ICMP を抽出する。

Example
icmp || icmpv6
http.request.method

HTTP method で絞る。

Example
http.request.method == "POST"
http.host

HTTP Host で絞る。

Example
http.host == "api.example.com"
http.request.uri

URI に含まれる文字列で絞る。

Example
http.request.uri contains "/login"
http.response.code

HTTP status で絞る。

Example
http.response.code >= 500
http.user_agent

User-Agent を見る。

Example
http.user_agent contains "curl"
tls.handshake.type == 1

TLS Client Hello。

Example
tls.handshake.type == 1
tls.handshake.type == 2

TLS Server Hello。

Example
tls.handshake.type == 2
tls.handshake.extensions_server_name

SNI で絞る。

Example
tls.handshake.extensions_server_name == "www.example.com"
tls.alert_message

TLS alert を抽出する。

Example
tls.alert_message
tls.record.version

TLS record version を確認する。

Example
tls.record.version == 0x0303
dns.qry.name

DNS query 名で絞る。

Example
dns.qry.name contains "example.com"
dns.flags.response

DNS response だけ見る。

Example
dns.flags.response == 1
dns.rcode

DNS 応答コードで絞る。

Example
dns.rcode != 0
dns.a

A レコード応答で絞る。

Example
dns.a == 203.0.113.10
dhcp.option.type == 53

DHCP message type を抽出する。

Example
dhcp.option.type == 53
bootp.option.dhcp

DHCP パケットを抽出する。

Example
bootp.option.dhcp
sip

SIP シグナリングを抽出する。

Example
sip && ip.addr == 10.0.0.50
rtp

RTP メディアを抽出する。

Example
rtp
sctp

SCTP を抽出する。

Example
sctp || sctp.port == 3868
frame.time_delta_displayed

表示中フレーム間隔で遅延を探す。

Example
frame.time_delta_displayed > 1
対応ツール
Related