Wiresharkのコマンドラインツールの使い方を学びます。 TShark
Wireshark は世界で最も広く使われているネットワークプロトコルアナライザです。 キャプチャされたトラフィックに飛び込み、ネットワーク内で何が起こっているのかを分析することができます。 今日は、Wireshark のコマンドライン インターフェイスである Tshark を使用して、同様の結果を達成する方法について説明します。 入力ファイルがない場合、Tshark は単に Tcpdump のように動作します。 最初に利用可能なネットワークからトラフィックをキャプチャし、そのパケットを標準出力に表示します。 また、”-r” フラグを使用してネットワークキャプチャファイルを指定することもできます。
tshark -r network.pcap
このようにすると、Tshark はキャプチャファイルのパケットを標準出力に表示します。 出力の一行を見てみましょう!
35 29.947879 192.168.0.55 → 192.168.0.91 HTTP 423 HTTP/1.1 200 OK
これは複雑に見えるかもしれませんが、Tsharkのコマンドライン出力はWiresharkのインターフェイスを反映していることを覚えておいてください。 コマンドライン出力の左から右へのフィールドは次のとおりです:
Packet number, Time, Source, Destination, Protocol, Length, Info
35, 29.947879, 192.168.0.55, 192.168.0.91, HTTP, 423, HTTP/1.1 200 OK
「時間」フィールドは、パケットがいつキャプチャされたかを示しています。 Source」フィールドと「Destination」フィールドは、そのパケットの送信元IPと送信先IPを示します。 Protocol “フィールドは、使用されたプロトコルを表示します。 長さ」フィールドは、そのパケットの長さを表示します。
Tshark の出力を grep にパイプすることによって、これらのパケットサマリーをフィルタリングすることができます。 たとえば、このコマンドは、HTTPステータスコードが「200 OK」のパケットを出力します。
tshark -r network.pcap | grep "200 OK"
Exporting interesting packets
パケットの内容を調べるには、そのオブジェクトをエクスポートします。 Tsharkのオブジェクトエクスポートでは、HTTPやSMBオブジェクトなど、さまざまな種類のパケットデータを抽出することができます。 PROTOCOLはエクスポートオブジェクトの種類を指定し、DESTINATION_DIRはTsharkがエクスポートされたファイルを保存するために使用するディレクトリを指定します。 たとえば、このコマンドは、ネットワークを通じて転送されたファイルをエクスポートし、「exported_files_dir」ディレクトリに保存します。
tshark -r network.pcap --export-objects http,exported_files_dir
パケットフィルタの使用
Wiresharkと同様に、特定の条件に基づいてパケットをフィルタリングすることもできます。 コマンドの最後にフィルターを引用符で囲むだけです。
tshark -r network.pcap "http.request.method == POST and http.file_data contains password"
適用できるフィルターの形式は、Wiresharkのものと同じです。 利用可能なフィルタの一覧は、ここにあります。
また、”-T” フラグを使用して、デコードしたパケットデータの出力形式を指定することができます。 たとえば、このコマンドはすべてのHTTP GETリクエストをJSON形式で表示します。
tshark -r network.pcap -T json "http.request.method==GET"
最後に、Tsharkからの出力をgrepなどの他のコマンドラインツールにパイプすることで処理できます。
結論
この記事では、WiresharkとTsharkでできることのほんの一部しか紹介していません。 これらのツールは、さまざまな種類の分析を実行できる多機能ツールです。
これらのツールについてより詳しく知りたい場合は、こちらのドキュメントを参照してください。