Wireshark(Tshark)のpcapファイルを使ってみよう(No.2) [Ubuntu,Wireshark]
2010/10/31の「Wireshark(Tshark)のpcapファイルを使ってみよう」の記事にアクセスが多いので、もう少し追加でTipsを紹介します。tsharkで取得したpcapファイルを色々な方法で表示したいと思います。
今回は、2011年1月4日にtsharkで取得したファイルpacket_00001_20110104092808.pcapを例にします。
1.pcapファイル情報
sudo capinfos packet_00001_20110104092808.pcap
2.パケット数でファイル分割
5000packetで分割
sudo editcap packet_00001_20110104092808.pcap bunkatsu -c 5000
分割後のファイルが、bunkatsu_00000_・・・,bunkatsu_00001_・・・で出力されます。
3.テキスト表示(簡易)
sudo tshark -r packet_00001_20110104092808.pcap -n -T text
同じ表示になると思いますが、column.formatで表現してみました。
sudo tshark -r packet_00001_20110104092808.pcap -o column.format:'"No.", "%m","Time","%t","Source", "%s","Destination", "%d","Protocol","%p","Info","%i"' -T text
(Windowsの場合、シングルコーテーション'をダブルコーテーション"で囲みます)
tshark -r packet_00001_20110104092808.pcap -o column.format:""No.", "%m","Time","%t","Source", "%s","Destination", "%d","Protocol","%p","Info","%i"" -T text
4.テキスト表示(詳細)
sudo tshark -r packet_00001_20110104092808.pcap -n -T text -V
5.項目を指定して表示する方法
sudo tshark -r packet_00001_20110104092808.pcap -T fields -E separator=';' -e frame.number -e frame.time -e ip.src -e tcp.srcport -e ip.dst -e tcp.dstport '(tcp.flags.syn == 1 and tcp.flags.ack == 0)'
項目の区切り(セパレータ)にセミコロン(;)を使いました。frame.timeを入れるとカンマ(,)が入るからです。
フレーム番号、時刻、ソースIPアドレス、ソースポート番号、ディスティネーションIPアドレス、ディスティネーションポート番号を表示するようにしています。
6.Conversations
WiresharkのメニューStatisticsにConversationsという機能があります。これをコマンドで実行します。
Ethernetで集計
sudo tshark -r packet_00001_20110104092808.pcap -q -z conv,eth
TCPで集計
sudo tshark -r packet_00001_20110104092808.pcap -q -z conv,tcp
IPアドレスで絞ってみる
sudo tshark -r packet_00001_20110104092808.pcap -q -z conv,tcp,ip.addr==192.168.11.101
UDPで集計
sudo tshark -r packet_00001_20110104092808.pcap -q -z conv,udp
IPv4で集計
sudo tshark -r packet_00001_20110104092808.pcap -q -z conv,ipv4
7.Protocol Hierarchy
WiresharkのメニューStatisticsにProtocol Hierarchyという機能があります。これをコマンドで実行します。
sudo tshark -r packet_00001_20110104092808.pcap -q -z io,phs
8.その他
時間単位のIO Statistics(framesとbytes)を表示します。
sudo tshark -r packet_00001_20110104092808.pcap -q -z io,stat,600,eth
sudo tshark -r packet_00001_20110104092808.pcap -q -z io,stat,600,udp,tcp
いかがでしたか。
少しでもお役に立てればと思います。
追記
column.formatについては、ここやここを参照してください。
次回をお楽しみに!!
今回は、2011年1月4日にtsharkで取得したファイルpacket_00001_20110104092808.pcapを例にします。
1.pcapファイル情報
sudo capinfos packet_00001_20110104092808.pcap
2.パケット数でファイル分割
5000packetで分割
sudo editcap packet_00001_20110104092808.pcap bunkatsu -c 5000
分割後のファイルが、bunkatsu_00000_・・・,bunkatsu_00001_・・・で出力されます。
3.テキスト表示(簡易)
sudo tshark -r packet_00001_20110104092808.pcap -n -T text
同じ表示になると思いますが、column.formatで表現してみました。
sudo tshark -r packet_00001_20110104092808.pcap -o column.format:'"No.", "%m","Time","%t","Source", "%s","Destination", "%d","Protocol","%p","Info","%i"' -T text
(Windowsの場合、シングルコーテーション'をダブルコーテーション"で囲みます)
tshark -r packet_00001_20110104092808.pcap -o column.format:""No.", "%m","Time","%t","Source", "%s","Destination", "%d","Protocol","%p","Info","%i"" -T text
4.テキスト表示(詳細)
sudo tshark -r packet_00001_20110104092808.pcap -n -T text -V
5.項目を指定して表示する方法
sudo tshark -r packet_00001_20110104092808.pcap -T fields -E separator=';' -e frame.number -e frame.time -e ip.src -e tcp.srcport -e ip.dst -e tcp.dstport '(tcp.flags.syn == 1 and tcp.flags.ack == 0)'
項目の区切り(セパレータ)にセミコロン(;)を使いました。frame.timeを入れるとカンマ(,)が入るからです。
フレーム番号、時刻、ソースIPアドレス、ソースポート番号、ディスティネーションIPアドレス、ディスティネーションポート番号を表示するようにしています。
6.Conversations
WiresharkのメニューStatisticsにConversationsという機能があります。これをコマンドで実行します。
Ethernetで集計
sudo tshark -r packet_00001_20110104092808.pcap -q -z conv,eth
TCPで集計
sudo tshark -r packet_00001_20110104092808.pcap -q -z conv,tcp
IPアドレスで絞ってみる
sudo tshark -r packet_00001_20110104092808.pcap -q -z conv,tcp,ip.addr==192.168.11.101
UDPで集計
sudo tshark -r packet_00001_20110104092808.pcap -q -z conv,udp
IPv4で集計
sudo tshark -r packet_00001_20110104092808.pcap -q -z conv,ipv4
7.Protocol Hierarchy
WiresharkのメニューStatisticsにProtocol Hierarchyという機能があります。これをコマンドで実行します。
sudo tshark -r packet_00001_20110104092808.pcap -q -z io,phs
8.その他
時間単位のIO Statistics(framesとbytes)を表示します。
sudo tshark -r packet_00001_20110104092808.pcap -q -z io,stat,600,eth
sudo tshark -r packet_00001_20110104092808.pcap -q -z io,stat,600,udp,tcp
いかがでしたか。
少しでもお役に立てればと思います。
追記
column.formatについては、ここやここを参照してください。
次回をお楽しみに!!
タグ:Wireshark
コメント 0