« シーケンス番号を自在に操りたい!(3) -(2)MAXVALUE defalut値の顛末 | トップページ | アプリからFTPを実行する(1)-自前処理 »

2014.03.04

Wiresharkのフィルター

ネットワーク系は優秀な同僚がいるので、ここんところ自分で何かしなくてはならないことは少なかったのだが、その同僚が長期休みをとっていたため久方ぶりに自力でネットワーク関連の調査。
そうなれば当然WireSharkの出番である。
であるのだがかれこれ数年間は触っておらず、今使ってるPCにはインストールすらされていなかった(^^;

そこでしこしこインストールをしてフィルタリングをしたのでそのときのメモをば。

◆インストール
何も悩むところはない。ウィザードに従ってインストールするだけ。
前提条件としてWinpcapがインストールされている必要がある。もっともインストールパッケージ内に、こちらのインストールも組み込まれているので、大丈夫だろう。

今回は日本語化プロジェクトの恩恵にあずかろうと、日本語パッチ済みのバージョンをインストールしようと考えた。
 ref)Wireshark プロジェクト日本語
けど日本語になってなかった。バージョン間違えたかなあ?
まあ英語で困ることはないので深く追求はしないでおく(^^;

◆キャプチャフィルタリング
今回はFTPだけ監視したかったので、キャプチャー段階でFTP(Port21)だけに絞り込むことにした。
ただ久しぶりすぎてやり方がわからず、、
今回のメモはこいつが一番のキーイシューである(^^;

問題が切り分けられていない場合は、すべてのパケットをキャプチャしておくほうが良いのだが、すべてのパケットを取得するとHDDもメモリも辛いことになるので、監視すべきパケットの種類がわかっているならばこれを使うのはメリットがある。

上部の[Capture]メニューからフィルターのダイアログボックスが開くのだが、これは罠である。
このメニューで設定できるのは、独自設定のフィルター定義そのものであって、キャプチャの絞り込みは別のところで設定する必要がある。

見つけなければいけないのはこのダイアログボックス。
メニューバーからなら[Capture]-[Interafces]で開くダイアログから、さらに[Options]を選択すれば良い。
このフィルター欄には先ほどのフィルター定義を呼び出すこともできるし、その場で好きなフィルタリングをかけることもできる。
今回はFTPだけを対象としたので

port 21
と指定した。

◆フィルタリング

万能なフィルタリングは画面左上部のこのFilterバーに条件入力をして"Apply"することで実行される。
このフィルタリングは、キャプチャしたデータを表示上絞り込んでいるだけなので、.pcapng形式などで保存した場合は、フィルタを変更して再解析することも可能である。

今回使ったフィルタのひとつとして、FTPのPut結果(STORコマンド結果)を取得したかったので、ftp.request.commandパラメータで絞り込んだ。
"Expressions"を押せば、いろいろなプロトコルのフィルタ条件をドロップダウンで探すことが可能なので、重宝する。

一方で、フィルタした結果だけを出力したい場合は[File]-[Export Dissections]メニューから出力することができる。

こうすれば、レポート等を作成する場合は便利だろう。

|

« シーケンス番号を自在に操りたい!(3) -(2)MAXVALUE defalut値の顛末 | トップページ | アプリからFTPを実行する(1)-自前処理 »

コメント

コメントを書く



(ウェブ上には掲載しません)




トラックバック

この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/2022/59233066

この記事へのトラックバック一覧です: Wiresharkのフィルター:

« シーケンス番号を自在に操りたい!(3) -(2)MAXVALUE defalut値の顛末 | トップページ | アプリからFTPを実行する(1)-自前処理 »