Filter ボックスに入力してルールを作成
ip.addr==192.168.2.10 && ip.addr==173.194.126.227
・イコール(==)は2個必要で、その左右にスペースは入れない。
・&& は AND 条件です。
・ip.src とか ip.dst というキーワードもあるけど、上の使い方がわかっていれば十分。
udp.port==53 || tcp.port==80 || tcp.port==443
・udp.port や tcp.port を使って port 番号を指定します。
・イコール(==)は2個必要で、その左右にスペースは入れない。
・|| は OR 条件です。
・tcp.src とか tcp.dst というキーワードもあるけど、上の使い方がわかっていれば十分。
icmp
・同様に tcp と書けば tcp プロトコル全てのパケットという意味になりますし、udp と書けば udp プロトコル全てのパケットという意味になります。
Filter Expression ツール
Filter ボックスの横にある [Expression...] ボタンを使って「Filter Expression」ツールが利用できます。
Sample のフィルタを書き換えてルールを作成(Display Filter)
画面イメージのボタンを押して、「Display Filter」ダイアログを起動します。
「Display Filter」ダイアログにはサンプルがたくさん登録されています。
直接使ってもいいし、書きっぷりを参考にしたり、編集して利用したりできます。
キャプチャデータの一覧からGUI のメニューを使ってルールを作成
キャプチャデータの一覧がこのようになっているとします。
今選択されているレコードが、173.194.126.159 と 192.168.2.10 の通信になっています。
ここで右クリックして、[Conversation Filter]-[IP]と選択します。
フィルタルール ip.addr eq 173.194.126.159 and ip.addr eq 192.168.2.10 が生成され、173.194.126.159 と 192.168.2.10 の通信のみ表示されるようになりました。
右クリックメニューの[Conversation Filter]の上に[Apply as Filter]というのと[Prepare a Filter]というのがあります。
[Apply as Filter]だと 173.194.126.159 上で右クリックをしていればこのアドレスを使ってフィルタを作ります。
192.168.2.10 の文字列上であればこのアドレスが利用されますし、ポートの 443 上で行えばポートのルールが書かれます。
[... and Selected]だと現在書かれているフィルタに追記する処理をします。絞り込みですね。
[Apply as Filter]は設定がすぐフィルタされるのに対し、[Prepare a Filter]は[Filter]にルールが書き込まれるけど、フィルタはまだかかっていない状態になります。
Windows Tools のページに戻る
0 件のコメント:
コメントを投稿