troushoo

スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

  1. --/--/--(--) --:--:--|
  2. スポンサー広告

Wiresharkで長時間パケットキャプチャを行う方法

今回は、Wireshark で長時間パケットキャプチャを行う方法を紹介します。

通常の方法で長時間パケットキャプチャを行うと、キャプチャーファイルが大きくなってしまいます。(数ギガ程度になることも珍しくありません。) キャプチャーファイルが大きいと、キャプチャーファイルの読み込みにも時間がかかってしまいます。

そこで、キャプチャファイルが大きくならないようにキャプチャーする方法を3つ紹介します。


【キャプチャファイルをファイルサイズで分割】
キャプチャーファイルを、「あるサイズ」ごとに異なるファイルに分けることが可能です。

1. Wireshark を開き、”Capture Options” をクリックします。
Capture Options

2. “Use multiple files” にチェックを入れます。
Use multiple files

3. “Next file exery” の設定をします。
例えば、下記のスクリーンショットのように、”16”、”megabyte(s)” と設定すると、16 MB ごとに新たなキャプチャファイルが作られます。
Next file every

4. “Capture Files” の“Files” に、キャプチャーファイルのファイル名を記入します。
Capture Files

5. その後、キャプチャーをし、保存を実行すると、16 MB ごとにキャプチャファイルが作られたことがわかります。
サイズごとに分割されたキャプチャーファイルができる

補足:
CUI を用いて、上記の設定(= 16 MB ごとに新たなキャプチャーファイルを作成) を行うこともできます。
    dumpcap –i eth0 –b filesize:16384 –w C:\temp\packets.pcap
コマンド

【キャプチャファイルを時間で分割】
キャプチャファイルを、「ある時間」ごとに異なるファイルに分けてることが可能です。

1. Wireshark を開き、”Capture Options” をクリックします。
Capture Options

2. “Use multiple files” にチェックを入れます。
Use multiple files

3. “Next file exery” の設定をします。
例えば、下記のスクリーンショットのように、”5”、”minute(s)” と設定すると、5 分ごとに新たなキャプチャーファイルが作られます。
Next file every

4. “Capture Files” の“Files” に、キャプチャーファイルのファイル名を記入します。
Capture Files

5. その後、キャプチャーをし、保存を実行すると、5 分ごとにキャプチャファイルが作られたことがわかります。
5 分ごとに分割されたキャプチャーファイルができる

補足:
CUI を用いて、上記(= 5 分ごとに新たなキャプチャーファイルを作成) を行うこともできます。
   dumpcap –i eth0 –b duration:300 –w C:\temp\packets.pcap
コマンド


【キャプチャーフィルター】
キャプチャーフィルターを用いると、不要なパケットをキャプチャーしなくすることが可能です。

1. Wireshark を開き、”Capture Options” をクリックします。
Capture Options

2. “Capture Filter:” をクリックします。
Capture Filter

3. キャプチャーフィルターの設定をします。
例えば、”IP address 192.168.0.1” をクリックします。
そして、”Filter string” のところのIPを”203.216.243.240” と変更すると、「203.216.243.240との通信のみをキャプチャーする」というフィルタ “host 203.216.243.240” が出来上がります。
その後、”OK”をクリックします。
キャプチャーフィルターの設定

4. “Capture Options” の画面に戻り、3 で作成したフィルタ”host 203.216.243.240” が設定されていることを確認します。
キャプチャーフィルターが設定される

5. その後、キャプチャーをすると、203.216.243.240 を含むパケットしかキャプチャーされていないことが確認できます。
キャプチャーフィルターが設定された

補足:
CUI を用いて、上記(= キャプチャーフィルターを用いて、tcp のみのキャプチャー) を行うこともできます。
   dumpcap –i eth0 –f “host 203.216.243.240” –w C:\temp\packets.pcap
コマンド


  1. 2013/06/13(木) 21:37:37|
  2. ネットワーク
  3. | トラックバック:0
  4. | コメント:0
<<Log Parser Lizard : Log Parser をGUIで使えるようにするツール | ホーム | Visual Studio 2012 Update 2 の新機能 : コードマップとデバッガーとの統合>>

コメント

コメントの投稿


管理者にだけ表示を許可する

トラックバック

トラックバック URL
http://troushoo.blog.fc2.com/tb.php/119-35a35f40
この記事にトラックバックする(FC2ブログユーザー)

スポンサーリンク

最新記事

月別アーカイブ

カテゴリ

ツール (92)
ネットワーク (76)
Visual Studio (56)
SOS・Psscor2/Psscor4 (25)
WinDbg (25)
Linux (24)
Azure (17)
Tips (20)
英語 (1)
About Me (1)
未分類 (0)

全記事表示リンク

全ての記事を表示する

検索フォーム

RSSリンクの表示

リンク

このブログをリンクに追加する

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。