株式会社ディアイティはサイバーセキュリティとネットワークの企業

Omnipeekを使いこなそう
~Omnipeekの使い方~ (不定期連載)


第6回:フィルタの使い方 (2/2)

OmnipeekのGUIの使い方第2回です。

前回は、フィルタールールを最初から作る方法をご紹介しましたが、今回はキャプチャしたパケットのデコードからフィルタを作成する方法と、既に保存済みのフィルタールールを使って新しいフィルタを作る方法をご紹介します。

デコードデータからフィルタを作成する方法

Omnipeekでは、作成したフィルターをアイテムとして保存し、適用します。

Omnipeekでは、キャプチャしたパケットのデコードデータからアドバンスドフィルターを作成することができます。この方法を覚えておくと、フィルタ作成が格段に早くなります。

今回は、無線LANキャプチャを行い、802.11 MAC HeaderにあるFrame Control Flagsの値から、Re-Transmissionのフラグが1になっているパケットを抽出するフィルタの作成する方法を例にして説明します。

デコードデータからフィルタを作成する方法

① フィルターの抽出条件にするデコードの値を右クリックし、「Make Filter」を選択します。

※ フィルターの条件にできるのは、黒文字で表示された値の項目になります。

デコードデータからフィルタを作成する方法

① フィルターの抽出条件にするデコードの値を右クリックし、「Make Filter」を選択します。

② 下の図のように、選択したデコードの値が条件として設定された新規のアドバンスドフィルターが表示されます。
上の図の例では、Frame Control Flagsの値:00001001 (2進数)を選択しましたので、値が9 (10進数)と表示されています。
フィルターの表示設定(Filter、Color、Comment)を設定し、「Value」の部分をダブルクリックします。

デコードデータからフィルタを作成する方法

③ 下の図のように、詳細な設定が表示されます。
この設定は、Frame Control Flagsの以下の項目のフラグが1の時の値になっています。

• This is a Re-Transmission
• To the Distribution System

Maskの値が0xFF (16進数)になっていますので、Frame Control Flagsの8bitすべてを評価します。

デコードデータからフィルタを作成する方法

デコードデータからフィルタを作成する方法

Maskに0x08 (16進数)と入力します。
評価するビットの部分のみを1にしたMask値を設定します。 Re-Transmissionフラグのみを評価する場合、4ビット目の値のみを見るために、2進数で00001000となります。

デコードデータからフィルタを作成する方法

Valueに「8」(10進数)と入力します。
Re-Transmissionフラグのみが1の時の値は2進数で「00001000」となります。
設定したら、「OK」ボタンをクリックします。

デコードデータからフィルタを作成する方法

⑤ アドバンスドフィルターの画面に戻りますので、「OK」をクリックして保存します。
複数のデコードの値を条件として組み合わせたフィルタを作成する場合は、最初にそれぞれのフィルタを仮作成しておき、条件をコピーして合成することで簡単に複雑なフィルタを作成できます。

フィルタ条件のコピー手順は、このあとを参照してください。

アドバンスドフィルタの便利な編集方法

Omnipeekのフィルタ機能では、フィルタの作成を簡略化するための便利な編集機能が実装されています。
ここでは、既存のフィルタ条件を流用したフィルタの作成方法をご紹介します。

既存のフィルタルールを複製する

既存のフィルタの一部を変更して、別のフィルタとして保存したい場合、既存のフィルタを複製することができます。
複製したフィルタルールを編集すれば、1から条件を設定する手間が省けます。

① 複製したいフィルタールールを右クリックし、「Duplicate」を選択します。

デコードデータからフィルタを作成する方法

② 複製元の名前の後ろに「copy」と書かれたフィルタールールが追加されます。

デコードデータからフィルタを作成する方法

既存のフィルタルールの条件をコピーする

次にご紹介するのは、フィルタルール内の条件をコピーして、別のフィルタルールに追加する方法です。
既にある一部の条件をそのまま使用したい場合、1から細かい設定する手間が省けます。

① 複製したい条件を含むフィルタルールをダブルクリックし、アドバンスドフィルターの画面を表示します。
複製したい条件を右クリックし、「Copy」を選択します。
すべての条件をコピーする場合は、「Copy Tree」を選択します。

デコードデータからフィルタを作成する方法

② 「Cancel」ボタンをクリックし、複製元のフィルタルールを閉じます。

③ 複製先のフィルタルールをダブルクリックし、アドバンスドフィルターの画面を表示します。
• 条件の先頭に配置する場合
:「 デコードデータからフィルタを作成する方法」を選択して右クリックします。
• 指定の条件の後ろに配置する場合
:指定の条件を選択して右クリックします。

※ 下の図では、例として指定の条件を選択しています。

AND条件で挿入する場合は「Paste And」、OR条件で挿入する場合は「Paste Or」を選択します。

デコードデータからフィルタを作成する方法

④ 下の図のようにコピーした条件が挿入されます。
下の図では、例としてOR条件で挿入した結果になります。

デコードデータからフィルタを作成する方法

⑤ 「OK」ボタンをクリックし保存します。


この製品に関するお問い合わせ

03-5634-7652電話受付時間/平日9:00-18:00
メールでのお問い合わせ

24時間受付