Wiresharkでは、キャプチャ時にあらかじめ指定しておいた条件に合致するパケットのみを取得する「キャプチャフィルタ(CaputureFilters)」機能が用意されています。プロトコル/ポート/IPアドレスなどの複数の条件を組み合わせてフィルタリングできます。
パケットキャプチャデータはファイルサイズが大きくなりがちになるため、長時間のキャプチャを行う場合はキャプチャフィルタを利用して目的のパケットのみをキャプチャすることでファイルサイズを削減できます。
フィルタを行うための書式は「pcap-filter」と呼ばれるルールに従って記述する必要があります。pcap-filterでは「type(パケットタイプ)」「dir(通信方向)」「proto(プロトコル)」の3つの要素で構成さます。
「tcp port http」と設定することで「TCPでポート番号80(HTTP)を使用するパケット」のみをキャプチャできます。
キャプチャに関する設定で、「プロミスキャスモード」にチェックを入れてキャプチャを実行すると、利用できるネットワーク上を流れるパケットについて、対象インターフェース宛以外のパケットも収集できます。
リモートマシンでパケットをキャプチャし、TZSPプロトコルまたはOmniPeekで使用されるプロトコルを使用して、Wiresharkを実行しているマシンにキャプチャしたパケットを送信することで、リモートキャプチャを行えます。
OSS×Cloud ACCESS RANKING