Wireshark display filter チート集
Wireshark の表示フィルタ演算子、IP/port、TCP flags、HTTP、TLS、DNS、DHCP、SIP/RTP/SCTP を、キャプチャフィルタとの差分込みで整理したチート集。
- 更新日
- 2026-05-29
- 参照範囲
- 公式ドキュメント / man page / 主要ベンダーCLI
- 対象実装
- 主要 Linux / BSD / ネットワーク機器 CLI の一般的な実装
- 免責
- OS とバージョン差分は実環境で確認してください。
このチートシートの使いどころ
Wireshark display filter チート集は、Wireshark の表示フィルタ演算子、IP/port、TCP flags、HTTP、TLS、DNS、DHCP、SIP/RTP/SCTP を、キャプチャフィルタとの差分込みで整理したチート集。 対象は公式ドキュメント、man page、主要ベンダー CLI で確認できる現行の一般的な実装です。カテゴリは基本、IP・ポート、HTTP・TLS、DNS・DHCP、VoIP・その他を中心に、40件のコマンドや値を用途別に引けます。障害調査、設定変更前の確認、作業メモ作成で、Wireshark、display filter、packet、パケット解析、tcpに関連する操作を短時間で探すために使います。
40 / 40
display filter vs capture filter表示フィルタは取得後の絞り込み、キャプチャフィルタ(BPF)は取得前の絞り込み。
表示: ip.addr == 10.0.0.1 / キャプチャ: host 10.0.0.1==フィールドが値と等しい。
ip.addr == 10.0.0.1!=フィールドが値と等しくない。
ip.dst != 10.0.0.1> < >= <=数値比較する。
http.response.code >= 500&&AND 条件。
ip.src == 10.0.0.10 && tcp.port == 443||OR 条件。
dns || tls!NOT 条件。
!(arp || icmp)contains部分文字列を含む。
http.host contains "example.com"matches正規表現に一致する。
http.request.uri matches "^/api/v[0-9]+/"in値集合に含まれる。
tcp.port in {80 443 8080}ip.addr送信元または宛先 IP。
ip.addr == 10.0.0.1ip.src送信元 IPv4。
ip.src == 10.0.0.10ip.dst宛先 IPv4。
ip.dst == 10.0.0.20ipv6.addr送信元または宛先 IPv6。
ipv6.addr == 2001:db8::1tcp.port送信元または宛先 TCP port。
tcp.port == 443udp.port送信元または宛先 UDP port。
udp.port == 53tcp.flags.synSYN パケットを抽出する。
tcp.flags.syn == 1 && tcp.flags.ack == 0tcp.analysis.retransmissionTCP 再送を抽出する。
tcp.analysis.retransmissiontcp.stream特定 TCP stream を追う。
tcp.stream == 12icmpICMP を抽出する。
icmp || icmpv6http.request.methodHTTP method で絞る。
http.request.method == "POST"http.hostHTTP Host で絞る。
http.host == "api.example.com"http.request.uriURI に含まれる文字列で絞る。
http.request.uri contains "/login"http.response.codeHTTP status で絞る。
http.response.code >= 500http.user_agentUser-Agent を見る。
http.user_agent contains "curl"tls.handshake.type == 1TLS Client Hello。
tls.handshake.type == 1tls.handshake.type == 2TLS Server Hello。
tls.handshake.type == 2tls.handshake.extensions_server_nameSNI で絞る。
tls.handshake.extensions_server_name == "www.example.com"tls.alert_messageTLS alert を抽出する。
tls.alert_messagetls.record.versionTLS record version を確認する。
tls.record.version == 0x0303dns.qry.nameDNS query 名で絞る。
dns.qry.name contains "example.com"dns.flags.responseDNS response だけ見る。
dns.flags.response == 1dns.rcodeDNS 応答コードで絞る。
dns.rcode != 0dns.aA レコード応答で絞る。
dns.a == 203.0.113.10dhcp.option.type == 53DHCP message type を抽出する。
dhcp.option.type == 53bootp.option.dhcpDHCP パケットを抽出する。
bootp.option.dhcpsipSIP シグナリングを抽出する。
sip && ip.addr == 10.0.0.50rtpRTP メディアを抽出する。
rtpsctpSCTP を抽出する。
sctp || sctp.port == 3868frame.time_delta_displayed表示中フレーム間隔で遅延を探す。
frame.time_delta_displayed > 1| Command | Description | Example | Copy |
|---|---|---|---|
display filter vs capture filter | 表示フィルタは取得後の絞り込み、キャプチャフィルタ(BPF)は取得前の絞り込み。 | 表示: ip.addr == 10.0.0.1 / キャプチャ: host 10.0.0.1 | |
== | フィールドが値と等しい。 | ip.addr == 10.0.0.1 | |
!= | フィールドが値と等しくない。 | ip.dst != 10.0.0.1 | |
> < >= <= | 数値比較する。 | http.response.code >= 500 | |
&& | AND 条件。 | ip.src == 10.0.0.10 && tcp.port == 443 | |
|| | OR 条件。 | dns || tls | |
! | NOT 条件。 | !(arp || icmp) | |
contains | 部分文字列を含む。 | http.host contains "example.com" | |
matches | 正規表現に一致する。 | http.request.uri matches "^/api/v[0-9]+/" | |
in | 値集合に含まれる。 | tcp.port in {80 443 8080} | |
ip.addr | 送信元または宛先 IP。 | ip.addr == 10.0.0.1 | |
ip.src | 送信元 IPv4。 | ip.src == 10.0.0.10 | |
ip.dst | 宛先 IPv4。 | ip.dst == 10.0.0.20 | |
ipv6.addr | 送信元または宛先 IPv6。 | ipv6.addr == 2001:db8::1 | |
tcp.port | 送信元または宛先 TCP port。 | tcp.port == 443 | |
udp.port | 送信元または宛先 UDP port。 | udp.port == 53 | |
tcp.flags.syn | SYN パケットを抽出する。 | tcp.flags.syn == 1 && tcp.flags.ack == 0 | |
tcp.analysis.retransmission | TCP 再送を抽出する。 | tcp.analysis.retransmission | |
tcp.stream | 特定 TCP stream を追う。 | tcp.stream == 12 | |
icmp | ICMP を抽出する。 | icmp || icmpv6 | |
http.request.method | HTTP method で絞る。 | http.request.method == "POST" | |
http.host | HTTP Host で絞る。 | http.host == "api.example.com" | |
http.request.uri | URI に含まれる文字列で絞る。 | http.request.uri contains "/login" | |
http.response.code | HTTP status で絞る。 | http.response.code >= 500 | |
http.user_agent | User-Agent を見る。 | http.user_agent contains "curl" | |
tls.handshake.type == 1 | TLS Client Hello。 | tls.handshake.type == 1 | |
tls.handshake.type == 2 | TLS Server Hello。 | tls.handshake.type == 2 | |
tls.handshake.extensions_server_name | SNI で絞る。 | tls.handshake.extensions_server_name == "www.example.com" | |
tls.alert_message | TLS alert を抽出する。 | tls.alert_message | |
tls.record.version | TLS record version を確認する。 | tls.record.version == 0x0303 | |
dns.qry.name | DNS query 名で絞る。 | dns.qry.name contains "example.com" | |
dns.flags.response | DNS response だけ見る。 | dns.flags.response == 1 | |
dns.rcode | DNS 応答コードで絞る。 | dns.rcode != 0 | |
dns.a | A レコード応答で絞る。 | dns.a == 203.0.113.10 | |
dhcp.option.type == 53 | DHCP message type を抽出する。 | dhcp.option.type == 53 | |
bootp.option.dhcp | DHCP パケットを抽出する。 | bootp.option.dhcp | |
sip | SIP シグナリングを抽出する。 | sip && ip.addr == 10.0.0.50 | |
rtp | RTP メディアを抽出する。 | rtp | |
sctp | SCTP を抽出する。 | sctp || sctp.port == 3868 | |
frame.time_delta_displayed | 表示中フレーム間隔で遅延を探す。 | frame.time_delta_displayed > 1 |