必要パケットだけ抽出

Wiresharkのコアな使い方大きなキャプチャファイルから
調べたい部分だけを取り出そう

すべて調査する

調査のためにキャプチャファイルを保存する場合、なるべくすべてのパケットを保存したいと思いますよね。 キャプチャ時にフィルタリングしてしまうと肝心のパケットを保存できていない可能性があります。しかし、保存したキャプチャファイルのサイズが大きくなってしまうとWiresharkでファイルを開くのに時間がかかりますし、場合によっては開けないこともあります。

  • 調査のためにキャプチャするときは、なるべくすべてを保存したい
  • すべてを保存すると、キャプチャファイルが大きくなりすぎる
  • キャプチャファイルが大きすぎるとファイルが開けない

フリーツールであるWiresharkと一緒にインストールされる"tshark"を活用して、必要なパケットだけを抽出したキャプチャファイルを作成してみましょう。

キャプチャしたパケットからファイルを復元する方法

Wiresharkと一緒にインストールされるtsharkを利用して、キャプチャファイルから必要なパケットを抽出したキャプチャファイルを作成する方法をご紹介します。

すべて調査する

操作手順

  1. “コマンド プロンプト”を起動して、キャプチャファイルのあるフォルダに移動
  2. “tshark”のヘルプを確認 (インストールパスを指定していない場合は、"C:\Program Files\Wireshark\"にあります)
"C:\Program Files\Wireshark\tshark" -help
  1. 特定の通信を抽出(例として、sshのみを抽出します)
"C:\Program Files\Wireshark\tshark" -r all-packets.pcap -Y "ssh" -w pick-out-1.pcap
オプション 説明
-r 抽出されるファイル(読み込むファイル)のファイル名を指定します
-Y 抽出条件を指定します(ディスプレイ フィルタの書式をそのまま使います)
-w 抽出結果を保存するファイルのファイル名を指定します

※ この”-Y”オプションはwireshark2.2.7などの新しいwiresharkに含まれるtsharkで利用することができます。
wireshark1.8.10などの古いwiresharkに含まれるtsharkでは、同じ意味の動作を行うオプションとして”-R”を使います。
tsharkのバージョンは、”-v”オプションで確認することができます。

ディスプレイ フィルタ

Wiresharkで使用可能なすべてのディスプレイ フィルタを使うことができます。
以下にフィルタ設定の例をご紹介します。

ディスプレイ フィルタ例 説明
http httpのみを抽出します
!http http以外を抽出します
!http and !dns http以外、かつ、dns以外のパケットを抽出します
(“and“などの論理式も使えます。)
frame.time > “Jun 30,2012 09:19:48.100000000“ 見たい時間を指定して抽出します

状況にあわせて絞込み条件を組み合わせて使うことも可能です。

"C:\Program Files\Wireshark\tshark" -r all-packets.pcap -Y "!ssh and frame.time > \"Jun 30,2012 09:19:48.100000000\" and frame.time < \"Jun 30,2012 09:19:50.500000000\"" -w pick-out-1.pcap

=抽出前のファイル名 =開始時間 =終了時間 =抽出後のファイル名

その他にも様々なフィルタがあります。
WiresharkのExpressionボタンをクリックすると、Filter Expressionダイアログが表示されます。
その他のフィルタについては以下をご覧下さい。

Wireshark · Display Filter Reference(英語)

操作手順(LinuxなどのUNIX-like OSの場合)

使い方はWindows版と同じです。
(この実行例はwireshark 1.8.10のtsharkを使用しています。)

フローグラフ

このように、tsharkを使用することでファイルサイズの大きなキャプチャファイルから、必要な通信のみを抽出したキャプチャファイルを作成することができます。

これにより、Wiresharkでキャプチャファイルを開くことができない、開くのに時間がかかるといった問題を解決することができます。

※Wiresharkは、Wireshark Foundation, Inc.の登録商標です。

トピック Wiresharkの得意なこと、苦手なこと

Wiresharkの使い方を間違えていませんか?

Wiresharkにも得意なことと苦手なことがあります。
得意なこと、苦手なことをまとめたトピックスページも是非、ご覧下さい。

Terilogy HOME > momentum TOP > Wiresharkのコアな使い方 > 大きなキャプチャファイルから調べたい部分だけを取り出そう

デモ
momentum
オンラインデモ予約

「説明を聞きながら時間をかけずに理解したい」という方には、オンラインデモをご用意しています。日本全国どこでも、ご覧いただけますので、お気軽にお申込みください。

デモを予約する
デモ
momentum DNS viewer
今すぐ体験する

「自分で操作してみたい」という方には、セルフデモをご用意しています。今すぐDNS viewerを体験してください。

今すぐ体験する
資料請求
資料請求

momentumのカタログを
お届けします。

資料を請求する
テリロジーに相談
お問い合わせ

ご不明な点がありましたら、
お気軽にご連絡ください。
お急ぎの方は 03-3237-3291 へお電話ください。

ウェブからお問い合せ

トップへ