troushoo

スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

  1. --/--/--(--) --:--:--|
  2. スポンサー広告

大きなWireshark のキャプチャーファイルからパケットを抽出 : tshark、editcap

概要

大きなWireshark のキャプチャーファイルから、パケットを抽出する方法として、tshark を利用した方法と、editcap を利用した方法の2つを紹介します。

内容

キャプチャーファイルが大きくなりすぎると、フィルターを適用するのに時間がかかったりと、解析に時間がかかるようになってしまいます。そこで、本記事では、大きいWireshark のキャプチャファイルからパケットを抽出する2つの方法を紹介します。
(キャプチャーファイルが大きくなりすぎないようにキャプチャーする方法は、以前のブログをご参照ください。)

tshark を利用する方法
tshark を利用すると、大きいキャプチャーファイルに対し、フィルターを適用した後のキャプチャーファイルを作成することができます。
tshark は、Wireshark.exe と同じフォルダーにインストールされています。

1. コマンドプロンプトを起動し”C:\Program Files\Wireshark” に移動します。

2. 以下のコマンドを実行します。
tshark –2 –r <大きいキャプチャーファイル> –R <フィルター> –w <フィルター適用後の出力キャプチャーファイル>

例えば、”http” フィルターを適用した後のキャプチャーファイルafter.pcapng を作成するには、以下のコマンドを実行します。
tshark.exe -2 -r c:\test\BigCaptureFile.pcapng -R "http" -w c:\test\after.pcapng
*引数”-2” の意味は、”-R” を使う時は必要になる引数で”two-pass 解析を行う” という意味です。
tshark

3. 結果、フィルターが適用されたキャプチャーファイルが出来上がります。
フィルターが適用されたキャプチャーファイルが出来上がる

4. 作成されたキャプチャーファイルを開いてみます。
すると、フィルターが適用された後のキャプチャーファイルとなっています。
以下のスクリーンショットでは、”http” フィルターが適用されたキャプチャーファイルとなっていることがわかります。
フィルターが適用されたキャプチャーファイルとなっている

editcap を利用する方法

editcap を利用すると、パケット数ごとにキャプチャーファイルを分割することができます。
editcap は、Wireshark.exe と同じフォルダーにインストールされています。

1. コマンドプロンプトを起動し”C:\Program Files\Wireshark” に移動します。

2. 以下のコマンドを実行します。
editcap –c <分割単位のパケット数> <分割したいキャプチャーファイル> <分割後のキャプチャーファイル>

例えば、50000 パケットごとに分割したい場合は、以下のコマンドを実行します。
editcap.ext –c 50000 c:\test\BigCaptureFile.pcapng c:\test\after.pcapng
editcap

3. 結果、キャプチャーファイルが出来上がります。
分割されたキャプチャーファイル

3. パケットの数を調べることができるcapinfos を利用して、パケット数を見てみます。
(capinfos もWireshark.exe と同じフォルダーにインストールされています)
結果、<分割単位のパケット数>ごとにキャプチャーファイルが分割されていることがわかります。
分割されていることがわかる

 


情報元
Extracting Packets From Large Captures
関連記事
Wiresharkで長時間パケットキャプチャを行う方法
  1. 2014/06/04(水) 22:29:11|
  2. ネットワーク
  3. | トラックバック:0
  4. | コメント:0
<<パフォーマンスモニターのプロセスのインスタンスにPID を表示するTips | ホーム | メモリダンプから様々な情報を抽出するためのオープンソースのツール : volatility>>

コメント

コメントの投稿


管理者にだけ表示を許可する

トラックバック

トラックバック URL
http://troushoo.blog.fc2.com/tb.php/175-fd46a195
この記事にトラックバックする(FC2ブログユーザー)

スポンサーリンク

最新記事

月別アーカイブ

カテゴリ

ツール (92)
ネットワーク (76)
Visual Studio (56)
SOS・Psscor2/Psscor4 (25)
WinDbg (25)
Linux (24)
Azure (17)
Tips (20)
英語 (1)
About Me (1)
未分類 (0)

全記事表示リンク

全ての記事を表示する

検索フォーム

RSSリンクの表示

リンク

このブログをリンクに追加する

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。