Wireshark(Tshark)でパケットキャプチャしてみよう [Ubuntu]
SSLクライアント認証ができるWebサーバができましたので、パケットキャプチャをしてみることにしました。
パケットキャプチャといえば、Wireshark(昔はEthereal)ですかね。
では、UbuntuにWiresharkをインストールします。
1.Wiresharkのインストール
sudo apt-get install wireshark
これでインストールは完了です。
でも、これではCUIのTsharkがインストールされていません。
sudo apt-get install tshark
これでTsharkもインストールされました。
Wireshark関連の実行ファイルは、以下のものがあります。
/usr/bin/capinfos
/usr/bin/dumpcap
/usr/bin/editcap
/usr/bin/mergecap
/usr/bin/text2pcap
/usr/bin/wireshark
/usr/bin/tshark
2.Wiresharkを使う
sudo wireshark
あとはGUIでCaptureを開始すればOK。
3.Tsharkを使う
WiresharkがGUIなので、CPUやメモリを使います。メモリが枯渇すれば止まっちゃいます。
ですので、CUIのTsharkのほうが、パケットキャプチャにはお勧めです。
キャプチャファイルができますので、その格納用ディレクトリを事前に作成します。
cd /var
sudo mkdir data
cd data
まず、キャプチャするインタフェースを確認します。
tshark -D
1. eth0
2. usbmon1 (USB bus number 1)
3. lo
1のeth0をキャプチャします。
sudo tshark -i 1 -b filesize:10000 -w packet.pcap
[-i 1]はインタフェースの1
[-b filesize:10000]はファイルサイズが10MBでローテート
[-w packet.pcap]はpacket.pcapファイルに書き出し
あと、-fでキャプチャフィルタを指定することもできます。キャプチャ対象のIPアドレスが決まっているならフィルタしたほうが余分なデータがないので解析するには楽です。
10MBローテートにしているのは、Wiresharkで読み込みときに、大きいファイルだとかなりのメモリを消費し、PCのパフォーマンスが落ちてしまうからです。
4.TsharkのキャプチャデータをWiresharkで見る
sudo wireshark
fileメニューからopenでキャプチャファイルを読み込みます。
お勧めの機能は「Flow Graph」です。簡単なシーケンスを作成してくれます。
Statistics メニューからFlow Graph...を選びます。
3箇所選択するのですが、デフォルトのDisplayed packets/General flow/Standard source/destination addressesのままにして、OKをクリックします。
簡単にシーケンスが作成できたと思います。
別名で保存すれば、テキストで保存できます。(多少ズレますが)
SSLに関しては、ssltapというツールもあります。
次回は、ssltapについて紹介したいと思います。
お楽しみに!!
こことここも見てね!!
パケットキャプチャといえば、Wireshark(昔はEthereal)ですかね。
では、UbuntuにWiresharkをインストールします。
1.Wiresharkのインストール
sudo apt-get install wireshark
これでインストールは完了です。
でも、これではCUIのTsharkがインストールされていません。
sudo apt-get install tshark
これでTsharkもインストールされました。
Wireshark関連の実行ファイルは、以下のものがあります。
/usr/bin/capinfos
/usr/bin/dumpcap
/usr/bin/editcap
/usr/bin/mergecap
/usr/bin/text2pcap
/usr/bin/wireshark
/usr/bin/tshark
2.Wiresharkを使う
sudo wireshark
あとはGUIでCaptureを開始すればOK。
3.Tsharkを使う
WiresharkがGUIなので、CPUやメモリを使います。メモリが枯渇すれば止まっちゃいます。
ですので、CUIのTsharkのほうが、パケットキャプチャにはお勧めです。
キャプチャファイルができますので、その格納用ディレクトリを事前に作成します。
cd /var
sudo mkdir data
cd data
まず、キャプチャするインタフェースを確認します。
tshark -D
1. eth0
2. usbmon1 (USB bus number 1)
3. lo
1のeth0をキャプチャします。
sudo tshark -i 1 -b filesize:10000 -w packet.pcap
[-i 1]はインタフェースの1
[-b filesize:10000]はファイルサイズが10MBでローテート
[-w packet.pcap]はpacket.pcapファイルに書き出し
あと、-fでキャプチャフィルタを指定することもできます。キャプチャ対象のIPアドレスが決まっているならフィルタしたほうが余分なデータがないので解析するには楽です。
10MBローテートにしているのは、Wiresharkで読み込みときに、大きいファイルだとかなりのメモリを消費し、PCのパフォーマンスが落ちてしまうからです。
4.TsharkのキャプチャデータをWiresharkで見る
sudo wireshark
fileメニューからopenでキャプチャファイルを読み込みます。
お勧めの機能は「Flow Graph」です。簡単なシーケンスを作成してくれます。
Statistics メニューからFlow Graph...を選びます。
3箇所選択するのですが、デフォルトのDisplayed packets/General flow/Standard source/destination addressesのままにして、OKをクリックします。
簡単にシーケンスが作成できたと思います。
別名で保存すれば、テキストで保存できます。(多少ズレますが)
SSLに関しては、ssltapというツールもあります。
次回は、ssltapについて紹介したいと思います。
お楽しみに!!
こことここも見てね!!
assimane さん
-
nice! 37743
記事 846
テーマ パソコン・インターネット (13位)
プロフィール
ブログを紹介する
Assimane Blog
よろしければFeedlyに登録してね
