Wireshark Tips
よく使うフィルタ
- IPアドレス
ip.addr == 192.168.1.100 ip.src == 192.168.1.100 ip.dst == 192.168.1.200
- TCPポート番号
tcp.port == 80 tcp.srcport == 80 tcp.dstport == 80
- プロトコル
http (デフォルト設定では 80,443,3128,3132,5985,8080,8088,11371,1900,2869ポート)
- 条件式
- and
- or
- !
- 例:特定クライアントPCとHTTPプロトコルでフィルタ
ip.addr == 192.168.1.100 and http
Decode As
- 特定の通信を指定したプロトコルとして解析する。
- Webサーバが80/tcp以外で動作している場合等
- メニューから [Analyze] → [Decode As] を選択する。
- [Transport]タブで解析したいポート番号を選択して、プロトコルを選択する。
- 下図では 210/tcp をHTTPとして解析
キャプチャデータからファイル抽出
- メニューから [file] → [Export] → [Objects] → [HTTP] or [DICOM] or [SMB] を選択する。
- オブジェクト一覧から、保存したファイルを選択して [Save AS] をクリックする。
- 全て保存した場合は [Save All] を選択
文字列検索
- メニューから [Edit] → [Find Packet] を選択する。(Ctrl+FでもOK)
- 検索文字列を入力する。
- 下図では、“baby.mid”という文字列をパケット詳細部から検索
Follow TCP Stream
- 表示したいTCPパケットを選択して、右クリック → [Follow TCP Stream] を選択する。
フィルタしたパケットのみ保存
- メニューから [File] → [Save As] を選択する。
- [Packet Range] で「Displayed」を選択して保存する。
pcapファイルの結合
- Wiresharkインストールフォルダ(C:\Program Files\Wireshark)にある「mergecap.exe」を使用する。
- 以下では、「d:\input1.pcap」と「d:\input2.pcap」を結合して「output.pcap」を作成
mergecap.exe -w d:\output.pcap d:\input1.pcap d:\input2.pcap
pcapファイルの分割
- Wiresharkインストールフォルダ(C:\Program Files\Wireshark)にある「editcap.exe」を使用する。
- 以下では、「d:\test.pcap」を「d:\」ドライブに「test」という名前をつけて10万パケットで分割する
- 分割されたファイルの名前は test_00000_yyyymmddhhmmss, test_00001_yyyymmddhhmmss …
- 10万パケットで約80MB (もちろんキャプチャしたデータによって増減する)
editcap.exe d:\test.pcap d:\test -c 100000
pcapファイルから特定期間のパケットを抽出する
- Wiresharkインストールフォルダ(C:\Program Files\Wireshark)にある「editcap.exe」を使用する。
- 以下では、「d:\input.pcap」の 2010年10月05日7時57分0秒 から 2010年10月5日7時59分59秒 のパケットを「d:\output.pcap」に抽出
editcap.exe -A "2010-10-05 07:57:00" -B "2010-10-05 07:59:59" d:\input.pcap d:\output.pcap