Wiresharkの達人を目指して

パケット解析のソフトウエア『Wireshark』についての使い方を書いた個人サイトです

ユーザ用ツール

サイト用ツール

wireshark:menu:file.html


目次

ファイルメニュー

ファイルメニューの中には、パケットファイルを開いたり保存したりするメニューがあります。

メインで利用するのは保存時ですが、他の機能についても把握しておくと便利に利用することが出来ます。

開く

開くは、保存したパケットをWiresharkで開くことが出来ます。

開く

開くをクリックすると上記画面が表示されるため、Wiresharkのアイコンになっているファイルを選択します。

Wireshark以外で取得したパケットも開くことが出来ます。

対応ファイル

かなりのファイル形式に対応しており、Linuxのtcpdumpコマンドで取得したパケットや、別ソフトウエアのSnifferominipeek等で取得したパケットの解析も行うことが出来ます。

mp4等も開くことが出来ますが、期待の表示にはならないことが多いため、基本的には拡張子がcappcapを開くための利用がメインです

最近使ったファイルを開く

「最近使ったファイルを開く」を選択すると、直近に利用したファイルが表示されます。

最近使ったファイル

ここでグレーアウトしているファイルはすでになくなっているため、選択しても開くことが出来ません。

結合

パケットを開いている状態において、アクティブになるメニューです。

開いているパケットファイルと、保存してあるパケットファイルを結合するためのメニューです。

結合

まず、保存してあるパケットを赤枠に選択します。

選択後、青枠に読み込まれるデータサマリーが表示されます。

最後の黄緑枠で、パケットの結合方法を選択します。

Prepend packets to existing file

現在開いているパケットファイルのに、選択したファイルのパケットを追加します。

Merge packets chronologically

現在開いているパケットファイルと選択したファイルの両方のパケットを時系列でマージします。

Append packets to existing file

現在開いているパケットファイルの後ろに、選択したファイルのパケットを追加します。

別の方法として、コマンドを利用したパケット結合 も可能です。

16進数ダンプからインポート

閉じる

閉じます。メイン画面の右上の「バツ」ボタンと同じ動作をし、パケット取得直後の場合は、保存の有無についてのダイアログボックスが表示されます。

保存

取得したパケットを保存します。 ショートカットは一般的なソフトと同じ「Ctrl+S」で、パケットの新規取得後はまず、オリジナルファイルを保存する癖をつけましょう。

新規取得後に「Ctrl+S」をクリックすると下の画面が表示されるので、ファイル名とファイル種類を変更(ファイル種類はデフォルトで基本的には問題ありません)して保存します。

動作としては、下で説明する「…として保存」と同じ動作ですが、新規パケット取得時は常に名前をつけて保存する動作なので正しい動きです

画面上にある「Compress with gzip」は保存時にパケットを圧縮し、拡張子がgz形式で圧縮され保存されます。

...として保存

…と省略されていますが、「名前を付けて保存」と同じ意味です。 ファイルを上書きしたくない時に利用します。

ファイルセット

指定したパケットをエクスポート

一部、またはすべてのパケットをエクスポート(保存)します。

取得後は、表示フィルタを行い解析をしやすく表示を変更しますが、フィルタしたデータのみを保存する際には「指定したパケットをエクスポート」を選択します。

パケットフィルタリング

実際にフィルタしたデータを、「指定したパケットをエクスポート」から操作してみます。

1. パケットフィルタリングを参考に、表示フィルタリングを実施する。(今回はDNSでフィルタリング。

DNSでフィルタリング

赤枠が、実際にDNSでフィルタリングしていることを示しており、\ 緑枠は、すべてのパケットの数が59パケット取得され、表示は4パケットということを示している。

2. エクスポートしたいデータを表示させファイルメニューから「指定したパケットをエクスポート」を選択する。

指定したパケットをエクスポート

赤枠内の設定にすることで、DNSでフィルタリングしたパケットのみpcapファイルで保存することが出来る。 赤枠左側にて「Selected packets only」を選択すると、選択していたもののみしか保存されないため注意。

エキスパートパケット解析

エキスパートパケット解析は、翻訳ミスです(Version 3.4.7時点)。 このメニューで出来ることは、様々な形式でエクスポート出来る機能です。

エクスポート形式

実際に出力すると、C言語配列であれば、.cファイルが作成され、フレームデータが配列に格納されたファイルが作成されます。

パケットバイト列をエクスポート

パケットバイト列のみを、RAWデータでエクスポートする機能です。 初期状態のWiresharkの場合、

  • 上段=パケット一覧
  • 中段=パケット詳細
  • 下段=パケットバイト列

で表示されています。パケットバイト列をエクスポートする際は、中段で層自体を選択した状態にして、実行します。

層選択

この状態において、エクスポートを実行。

実行

名前を付けて保存すると.binファイルが作成されます。

bin出力

試しにテキストエディタで開いてみると、Wiresharkで開いていたときの下段右側に表示されていたものが出力されていることがわかります。

エディタでRAW開いたときの表示

バイト列のみデータで保管したい時に使うオペレーションです。

PDUをファイルにエクスポート

※ 現状使用方法不明

TLSセッション鍵をエクスポート

※ 現状使用方法不明

オブジェクトをエクスポート

取得したパケット内の特定のプロトコルでの通信で発生したオブジェクトを取得する。

exportメニュー

例えばhttp通信中(ブラウザでWEBサイトを巡回中)、裏でWiresharkを回しておき、後で画像ファイルのみを集めるなどの使い方をする際に利用する。

実際にブラウジング後、httpを選択すると、以下のように一覧が表示される。

httpエクスポート

ファイルを選択し、保存するとクライアントPCに保存される。

印刷

印刷

表示されているパケットを印刷する。

終了

起動しているWiresharkを終了します。


wireshark/menu/file.html.txt · 最終更新: by anzadmin
Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki