「Wireshark」のキャプチャ機能

「Wireshark」のキャプチャ機能

■キャプチャフィルタ機能

Wiresharkでは、キャプチャ時にあらかじめ指定しておいた条件に合致するパケットのみを取得する「キャプチャフィルタ(CaputureFilters)」機能が用意されています。プロトコル/ポート/IPアドレスなどの複数の条件を組み合わせてフィルタリングできます。

パケットキャプチャデータはファイルサイズが大きくなりがちになるため、長時間のキャプチャを行う場合はキャプチャフィルタを利用して目的のパケットのみをキャプチャすることでファイルサイズを削減できます。

「pcap-filter」ルール

フィルタを行うための書式は「pcap-filter」と呼ばれるルールに従って記述する必要があります。pcap-filterでは「type(パケットタイプ)」「dir(通信方向)」「proto(プロトコル)」の3つの要素で構成さます。

「tcp port http」と設定することで「TCPでポート番号80(HTTP)を使用するパケット」のみをキャプチャできます。

→tcpdump　→PCAP-FILTER

■プロミスキャスモード

キャプチャに関する設定で、「プロミスキャスモード」にチェックを入れてキャプチャを実行すると、利用できるネットワーク上を流れるパケットについて、対象インターフェース宛以外のパケットも収集できます。

■リモートキャプチャ機能

リモートマシンでパケットをキャプチャし、TZSPプロトコルまたはOmniPeekで使用されるプロトコルを使用して、Wiresharkを実行しているマシンにキャプチャしたパケットを送信することで、リモートキャプチャを行えます。