*Tool/[ WS ] Wireshark

[WS - 03] Display Filter

사2다 2022. 2. 23. 17:52

Display Filter 개요


  • 캡처된 패킷 중 원하는 패킷을 필터링 및 검색하기 위해 사용
  • 연산, 프로토콜, 텍스트 등 다양한 방법으로 패킷 필터링 가능


Display Filter 값 비교 

English C-like Description
eq == 동일함
ne != 동일하지 않음
gt >
lt < 작음
ge >= 크거나 같음
le <= 작거나 같음
contains   프로토콜, 필드 또는 슬라이드에 포함된 값
matches ~ 정규식과 매칭되는 프로토콜 또는 필드


Display Filter 결합 표현

English C-like Description
and && AND 연산
or || OR 연산
xor ^^ XOR 연산
not ! NOT 연산


Display Filter 기능

Function Description
upper 문자열을 대문자로 변환하여 필터링
lower 문자열을 소문자로 변환하여 필터링
len 문자열 또는 바이트 필드의 바이트 길이를 반환
count 프레임에서 필드 발생 횟수를 반환
string 문자열이 아닌 필드를 문자열로 변환 (숫자를 문자로)


Display Filter 예시

IPv4 address

ip.addr ==

ip.src ==

ip.dst ==

ip.addr ==



Ethernet address

eth.dst == ff:ff:ff:ff:ff:ff

eth.dst == ff-ff-ff-ff-ff-ff

eth.dst == ffff.ffff.ffff



Boolean (tcp flag)

tcp.flags.syn == 1



Unsigned integer

ip.len le 1500

ip.len le 02734

ip.len le 0x5dc



Text string

http.request.uri == "https://www.wireshark.org/"



Date and time

frame.time == "Sep 26, 2004 23:18:04.954975"

ntp.xmt ge "2020-07-04 12:34:56"

frame.time < "2022-01-01"



tcp port

tcp.port in {80, 443, 8080}

tcp.port == 80 || tcp.port == 443 || tcp.port == 8080


upper, lower

lower(http.server) contains "apache"




len(http.request.uri) > 100




count(ip.addr) > 2

