Wireshark Tips

• IPアドレス

ip.addr == 192.168.1.100
ip.src == 192.168.1.100
ip.dst == 192.168.1.200

• TCPポート番号

tcp.port == 80
tcp.srcport == 80
tcp.dstport == 80

• プロトコル

http　(デフォルト設定では 80,443,3128,3132,5985,8080,8088,11371,1900,2869ポート)

• 条件式
  • and
  • or
  • !

• 例：特定クライアントPCとHTTPプロトコルでフィルタ

ip.addr == 192.168.1.100 and http

• 特定の通信を指定したプロトコルとして解析する。
  • Webサーバが80/tcp以外で動作している場合等
• メニューから [Analyze] → [Decode As] を選択する。
• [Transport]タブで解析したいポート番号を選択して、プロトコルを選択する。
  • 下図では 210/tcp をHTTPとして解析

• メニューから [file] → [Export] → [Objects] → [HTTP] or [DICOM] or [SMB] を選択する。
• オブジェクト一覧から、保存したファイルを選択して [Save AS] をクリックする。
  • 全て保存した場合は [Save All] を選択

• メニューから [Edit] → [Find Packet] を選択する。(Ctrl+FでもOK)
• 検索文字列を入力する。
  • 下図では、“baby.mid”という文字列をパケット詳細部から検索

• 表示したいTCPパケットを選択して、右クリック → [Follow TCP Stream] を選択する。

• メニューから [File] → [Save As] を選択する。
• [Packet Range] で「Displayed」を選択して保存する。

• Wiresharkインストールフォルダ(C:\Program Files\Wireshark)にある「mergecap.exe」を使用する。
  • 以下では、「d:\input1.pcap」と「d:\input2.pcap」を結合して「output.pcap」を作成

mergecap.exe -w d:\output.pcap d:\input1.pcap d:\input2.pcap

• Wiresharkインストールフォルダ(C:\Program Files\Wireshark)にある「editcap.exe」を使用する。
  • 以下では、「d:\test.pcap」を「d:\」ドライブに「test」という名前をつけて10万パケットで分割する
    • 分割されたファイルの名前は test_00000_yyyymmddhhmmss, test_00001_yyyymmddhhmmss …
    • 10万パケットで約80MB (もちろんキャプチャしたデータによって増減する)

editcap.exe d:\test.pcap d:\test -c 100000

• Wiresharkインストールフォルダ(C:\Program Files\Wireshark)にある「editcap.exe」を使用する。
  • 以下では、「d:\input.pcap」の 2010年10月05日7時57分0秒 から 2010年10月5日7時59分59秒 のパケットを「d:\output.pcap」に抽出

editcap.exe -A "2010-10-05 07:57:00" -B "2010-10-05 07:59:59" d:\input.pcap d:\output.pcap