ソフト/Wireshark

関連: Windows/パケットキャプチャ, ソフト/Script言語/Python/pcapy

Wireshark (Ethereal), Packetyzer, tcpdump, windump について。

目次

情報源 #

• けんのぼやき Wiki - パケットキャプチャ関連
  • Ethereal以外にもいろいろ。

• 海外フリーソフト

• Network Management howto from OPENXTRA

Ethereal #

• Ethereal: A Network Protocol Analyzer
  • Ethereal 0.10.5 released - Wednesday, July 7, 2004

• Etherealを使おう

Plugin #

• H.323 plugin for Ethereal

プラグイン仕様を調べてみたいのだが、未着手。(2004-04-14)

記事 #

＠IT：TCP/IPアレルギー撲滅ドリル【総まとめ編】

• 2005-09-02 (5) DNSへの問い合わせをEtherealでのぞき込む
• (4) Etherealでarpパケットをのぞき込もう
• (3} Etherealでパケットの実物を捕まえて中身をのぞき込もう

Wireshark #

• Wireshark: The World's Most Popular Network Protocol Analyzer
  • 「 The Ethereal network protocol analyzer has changed its name to Wireshark.」

• 2006-06-14 「Ethereal」は「Wireshark」に飲み込まれるのか？

Packeyzer #

• Network Chemistry: Packetyzer

• コンピュータ系blog: Packetyzer

tcpdump, windump #

• 2006-05-23 DSAS開発者の部屋:ネットワークパケットを覗いちゃえ
  • tcpdump,windump のコマンドラインパラメータとexpressionの例

メモ #

tshark メモ (2010-02-03) #

コマンドラインへルプの表示

C:> tshark -h

インターフェイスの一覧を表示

C:> tshark -D
1. \Device\NPF_{6B597EF7-BC28-4DDF-B8FD-593454C76401} (VMware Virtual Ethernet Adapter)
2. \Device\NPF_{39A43EA5-F472-4144-B513-7DAE534E6F4E} (Realtek RTL8168C/8111C PCI-E Gigabit Ethernet NIC)
3. \Device\NPF_{5358C949-7F97-4797-97E5-CCB924F779EF} (VMware Virtual Ethernet Adapter)
4. \Device\NPF_{EEA9598E-E76A-48BA-84B3-749CB44DC76C} (Intel(R) Gigabit CT Desktop Adapter)
5. \Device\NPF_{6694916A-888D-49D2-B4F4-CA0AF876BE0F} (Realtek RTL8168C/8111C PCI-E Gigabit Ethernet NIC)

インターフェイス4版を使用、キャプチャフィルタを指定 (192.168.1.2との間の通信のみキャプチャする)、パケット数100個でキャプチャ終了、キャプチャ結果をファイル sample.cap に記録する (あとでwiresharkやPacketyzerで閲覧できる)：

C:> tshark -i 4 -f "host 192.168.1.2" -c 100 -w sample.cap

Etherealインストール後にPacketyzerをインストールすると、Etherealの起動時に「C:\Programme\Network Chemistry\Packetyzer\asn1/default.tt」のエラーが発生 (2004-04-14) #

環境

• Windows XP Professional SP1
• WinPcap_3_1_beta.exe
• ethereal-setup-0.10.3.exe
• Packetyzer_0_7_3_Setup.exe

インストールの順番

1. WinPcap
2. Ethereal
3. Packeyzer

解決方法

Problem ethereal and packetzyer is installed より

1. select 'Edit -> Preferences...'
2. select 'Protocols'
3. select 'ASN1'
4. clear 'ASN.1 type table file:'
5. push 'Save' button.
6. push 'OK'

windump でインターフェイス名を調べる #

2006-02-11 WinDump 3.9.3, WinPcap 3.1

インターフェイス（デバイスの一覧を表示）

$ windump -D
1.\Device\NPF_GenericDialupAdapter (Generic dialup adapter)
2.\Device\NPF_{3DB844E2-ADE9-45E5-94C3-38F4518CEE9B} (Intel(R) PRO/100 VE Network Connection (Microsoft's Packet Scheduler) )
3.\Device\NPF_{D4F8C60F-08F6-43EA-AD41-4A25451E5556} (VMware Virtual Ethernet Adapter)
4.\Device\NPF_{B92BBB47-C048-47F9-9780-D2EF90976B8A} (VMware Virtual Ethernet Adapter)

インターフェイスを指定してWinDumpを実行:

C> windump -i '\Device\NPF_{3DB844E2-ADE9-45E5-94C3-38F4518CEE9B}' -w test.cap
c:\bin\windump.exe: listening on \Device\NPF_{3DB844E2-ADE9-45E5-94C3-38F4518CEE9B}

インターフェイスの「番号」を指定してWinDumpを実行:

C> windump -i 2 -w test.cap
c:\bin\windump.exe: listening on \Device\NPF_{3DB844E2-ADE9-45E5-94C3-38F4518CEE9B}

test.cap はPacketyzer 4.0.3 で読み込めた。(Etherealは未確認)