大量のパケットをキャプチャしてWiresharkで分析するとき
表示フィルタで絞った内容だけ別ファイルに保存したい事ありません?
今回はキャプチャしたパケットからプロトコル”DNS”にしぼって保存するシーンを例に説明したいと思います。
Wiresharkの使い方- パケットキャプチャのTips集 - - 一馬力のメモ帳
目次
対象のパケットキャプチャを開く
まずインプットとなるパケットキャプチャを開きます。
今回は”DNS”部分を抜き出して保存します。
表示フィルタで必要なパケットを選択する
Wiresharkの表示フィルタにプロトコル名を入力すると
そのプロトコルに関連するパケットのみ表示する事ができます。
今回は”DNS”関連パケットを表示したいので,表示フィルタ部分に”dns”入力しフィルタします。
参考)よく使うプロトコル
DNS以外にも一般的なプロトコルはフィルタ可能です。例えば
- DNS
- HTTP
- SMTP
など
表示フィルタので選択したパケットを保存(エクスポート)
表示フィルタでパケットを選択したらメニュから
ファイル(F) > 指定したパケットをエクスポート…
エクスポート画面が表示されます。
指定したパケットをエクスポート
「指定したパケットをエクスポート」のポップアップが表示されたら
エクスポートするパケットの範囲を選択していきます。
今回は「表示フィルタで選択したパケット」をエクスポートしたいので
- すべてのパケット(A)
- 表示されたパケット
の2階所を選択して保存します。
パケットの範囲の選択は「表」をイメージすると分かりやすいです。
縦列と横列の合わさった部分がエクスポート対象です。
今回の場合は下の図の2パケットがエクスポート対象となります。
保存したパケットを開いてみる
前のステップで保存したパケットを開いてみます。
これ例ではファイル名「dns.pcapng」です。
Wiresharkで開くと表示フィルタで選択した2パケットのみエクスポートされています。
大きなキャプチャをそのまま分析するのは大変です。
必要な部分のみ抜き出して分析すると,Wiresharkの負荷も下がり作業効率はあがります。
ぜひ試してみてください
参考になれば幸いです。
試した環境
ホストOS
iMac (27-inch, Mid 2010) macOS High Sierra システムのバージョン: macOS 10.13.4 (17E202) カーネルのバージョン: Darwin 17.5.0
Wireshark
Wireshark Version 2.4.3 (v2.4.3-0-g368ba1e)