WildPackets OmniPeek フィルターバーの使用方法 - 株式会社ディアイティ

WildPackets OmniPeek
フィルターバーの使用方法
株式会社ディアイティ
WildPackets OmniPeek シリーズ
フィルターバーの使用方法
目次
1.
フィルターバーからフィルターの作成 ................................................................................................ 3
2.
フィルターバーの使用 .......................................................................................................................... 4
3.
フィルターバーの構文 .......................................................................................................................... 4
4.
フィルタータイプ ................................................................................................................................. 4
5.
フィルターの例 ..................................................................................................................................... 6
6.
最後に.................................................................................................................................................... 7
2
Copyright© 2010 dit Co., Ltd. ,All Rights Reserved
WildPackets OmniPeek シリーズ
フィルターバーの使用方法
1.
フィルターバーからフィルターの作成
フィルターバーは，多様で高度なフィルターをすぐにキャプチャウィンドウから作成できます。

表示／非表示：キャプチャウィンドウで三角形アイコンをクリックして、フィルターバーを表
示／非表示できます。

フィルターボタン：このボタンをクリックすると，フィルターバーのメニューオプションが表
示されます。

Recent Filters：リストから最近定義したフィルターを選択

Insert Filter：リストからフィルターを選択

Insert Operator：リストからオペレータを選択（以下の種類があります）
& (And)，| (Or)，! (Not)，() (Group)

Insert Expression：リストからフィルタータイプ式を選択

Check Syntax：作成したフィルター構文をチェックします。正しく定義されているとツー
ルチップに「Filter OK」と表示されます。


Help：フィルターバーの使用方法についてのヘルプを表示します。
フィルターバーテキストボックス：フィルター，オペレータ，式を入力，または選択すると、
このテキストボックスに表示されます。

適用ボタン：このボタンをクリックすると，キャプチャウィンドウのバッファ内にあるパケッ
トにフィルターが適用されます。
3
Copyright© 2010 dit Co., Ltd. ,All Rights Reserved
WildPackets OmniPeek シリーズ
フィルターバーの使用方法
2.
フィルターバーの使用
フィルターバーでフィルターを作成するには：
① テキストボックスにフィルターの式を入力します。
② フィルターを行うために，フィルターバーの右端にある適用ボタンをクリックします。
「Selection Results」ダイアログボックスが表示されます。
③ 表示される以下の項目から表示方法を選択します。

Hide selected packets：フィルターしたパケットを隠す

Hide unselected packets：フィルターしたパケットのみ表示する

Copy selected packets to new window：フィルターしたパケットを新しいウィンドウで表
示する

3.
Close：閉じる
フィルターバーの構文
このセクションは、フィルターバーでフィルターを作成する際に使用する、オペレータ、フィルタ
ータイプ、およびアーギュメント名について定義し、説明します。

exp
構文：
exp op exp （←オプションで複数の式の組み合わせが可）
例：
SMB
smb | netbios
pcsec(http) & (!pcsec(‘802.3’))

op（オペレータ）
：& (and)，| (or)

exp（エクスプレッション）：(!exp)，(exp)，keyword[(arglist)]

keyword：フィルタータイプ，もしくはフィルターリスト内のフィルター名

arglist（アーギュメントのリスト）
：arg[, arg]*

arg（アーギュメント）
：[arg-name ‘:’] arg-value
最初の部分は arg-name が想定されるいくつかのフィルターではオプションです。
4.

arg-name：arg-name はフィルターのタイプに依存します。

arg-value は arg-name の値もしくは値のリスト（カンマ区切り）です。
フィルタータイプ
注意：フィルタータイプおよび arg-name の[ ]はオプションのアーギュメントです。必須ではありま
4
Copyright© 2010 dit Co., Ltd. ,All Rights Reserved
WildPackets OmniPeek シリーズ
フィルターバーの使用方法
せん。
フィルター
説明
アーギュメント
アーギュメントの説明
例
タイプ
addr
ip
Filter by address
Filter by IP Address
type: address type
address type = ip, ipv6,
addr(ip:'10.4.3.*')
addr1: address
ipx, ethernet,
addr(ethernet:'3com:*.*.*')
[addr2: address]
wireless, appletalk, decnet,
addr(type: ip, addr1: 10.4.3.1,
[dir: direction])
wan.dlci
addr2: 10.5.1.1, dir: 1to2)
or
direction = 1to2, 2to1, or
address type: address
both (default)
ip address specifier list
ip(10.4.3.6)
(no named arguments)
ip('10.4.3.*')
ip('10.4.3.*', '192.168.*.*')
protocol
Filter by protocol
protocol type: protocol
protocol type =
protocol(protospec: http)
protospec,
protocol(protospec:1418)
Ethernet.Protocol, LSAP,
see also pspec
SNAP, LAP,
DDP, WAN.PPP,
WAN.Frame.Relay
pspec
Filter by protospec
protocol list
pspec(http)
(no named arguments)
pspec(HTTP)
pspec(HTTP, 'NB Sess Init')
pspec(1418, 6018)
port
Filter by port
[type: port type]
port type = tcpudp
port(80)
[port1: port]
(default), netware, atalk
port(80, 8080)
[port2: port]
port = number or name
port(tcpudp: 80)
[dir: direction]
table port specifier (port1
port(port1: 80, port2: 1523,
is default)
dir:1to2)
direction = 1to2, 2to1, or
both (default)
value
Filter on a value in the
'([s/u][n/b]off[8/16/32](offset)
s = signed compare
value('off8(20) == 0x10')
packet
& mask) operator
u = unsigned compare
compares the 8 bits 20 bytes
value'
(default)
into the packet against the
(no named arguments)
n = network byte order
value 0x10 (16)
off8, off16, off32
b = big endian order
soff8, soff16, soff32
8, 16, 32 = bit size of the
snoff8, snoff16, snoff32
value in the packet
sboff8, sboff16, sboff32
offset = offset into the
uoff8, uoff16, uoff32
packet
unoff8, unoff16, unoff32
mask = value mask (e.g.
uboff8, uboff16, uboff32
0xff, 0b11111111, 255)
operator = comparison
operator, < <= > >= ==
value = value to compare
against (same format as
mask)
channel
Filter by channel number
num: number (default)
channel(2)
(wired only)
wan
Filter by wan attribute
dir: direction
direction = dte, dce
wan(dir: dte)
wireless
Filter by wireless attribute
(only one is required)
media type = 802.11b,
wireless(media:'802.11b',
media: media type
802.11a, 802.11 (default)
channelnum:
channelband: band type
band type = a, b, bg, n, at
1, encrypted: 1)
channelnum: numeric value
(a turbo), gt (g turbo),
datarate: numeric value
sg (super g),
minsignal: numeric value
s1 (licensed A
5
Copyright© 2010 dit Co., Ltd. ,All Rights Reserved
WildPackets OmniPeek シリーズ
フィルターバーの使用方法
maxsignal: numeric value
1MHz),
mindbmsignal: numeric
s5 (licensed A
value
5MHz),
maxdbmsignal: numeric
s10 (licensed
value
A 10MHz),
minnoise: numeric value
s15 (licensed
maxnoise: numeric value
A 15MHz),
mindbmnoise: numeric
s20 (licensed
value
A 20MHz)
maxdbmnoise: numeric
boolean value = yes, no,
value
true, false, on, off, 1, 0
encrypted: boolean value
decrypterr: boolean value
bssid: bssid value
pattern
Filter by pattern
search type:'search string'
search type = ASCII
pattern(ascii: 'smb', case: off)
[case: boolean value]
(default), Unicode, Hex,
pattern('SMB')
RegEx, EBCDIC
pattern(hex: FF464D50)
boolean value = yes, no,
true, false, on, off, 1, 0
case on means to use a
case sensitive match
length
plugin
Filter on a
(only one is required)
Either min or max is
length(64)
size of the
min: min length
required, or a single
length(min: 128)
packet
max: max length
numeric value for exact
length(max: 256)
length matches
length(min:128,max:256)
Filter by plugin
plug-in name (no named
plugin('FTP Analysis')
arguments)
filter
5.
Filter using
filter name (no named
existing filter
arguments)
filter keyword is optional
filter('SMB')
SMB
フィルターの例
A) 送信元 192.168.1.1，送信先 192.168.1.10 の ICMP パケットのみ抽出
addr(type:ip, addr1:192.168.1.1, addr2:192.168.1.10, dir:1to2) & protocol(protospec: ICMP)
B) Beacon 以外のパケットのみ抽出
!pspec('802.11 Beacon')
!protocol(protospec: '802.11 Beacon')
C) ポート番号 80 と 1523 間のパケットもしくは，ポート 8080 と 1098 間のパケットのみ抽出
port(port1: 80, port2: 1523, dir:both) | port(port1: 8080, port2: 1098, dir:both)
D) e
wireless(media:'802.11b', channelnum: 1, encrypted: 1)
wireless(media:'802.11b', minsignal:60, bssid:'00:A0:F8:8B:20:1F', encrypted: 0)
E) サイズが 128～256 のパケットのみ抽出
length(min:128,max:256)
6
Copyright© 2010 dit Co., Ltd. ,All Rights Reserved
WildPackets OmniPeek シリーズ
フィルターバーの使用方法
6.
最後に
フィルターバーは，コマンド入力タイプで，エキスパート向けのフィルター機能になります。
OmniPeek に搭載しているその他フィルター機能は，ユーザーフレンドリーなグラフィカルなイン
ターフェイスで操作ができ，初心者からエキスパートな方までご利用頂けます。また，GUI で作成
したフィルターをフィルターバーから適用することもできます。フィルター機能に関しては User
Guide にも記載がございますので，参照頂けますと幸いです。
設定方法やご不明な点等がございましたら，弊社カスタマサポートまでご連絡頂けます様お願い致
します。
問合せ先
受付時間平日 9:00～17:00
TEL：03-5634-7671
FAX：03-3699-7048
email：[email protected]
7
Copyright© 2010 dit Co., Ltd. ,All Rights Reserved

Download Report