Wireshark

感想おまちしてます!

パケットの解析などを行ってくれるプロトコルアナライザ。Etherealだったのが大人の事情で名前が変わった。

http://www.wireshark.org/

スポンサーリンク

Filterのサンプル

//host名でフィルタ
host ホスト名(IPアドレス)
//HTTPでフィルタ
http
//host名とHTTPでフィルタ
host ホスト名(IPアドレス) and http
//portでフィルタ
tcp.port == 6666
//sourceをIPでフィルタ
ip.src == IPアドレス
//sourceのPortでフィルタ
tcp.srcport == 8080
//destinationのIPでフィルタ
ip.dst == IPアドレス
//destinationのPortでフィルタ
tcp.dstport == 3548

Filterの条件を書くのがめんどくさい場合

詳細欄のInternet Protocolツリーを開く。一番下にDestinationのIPアドレスがあるので、それを選択して右クリック>Prepare a Filter>SelectedとするとFilter欄に以下が自動で入力される。

ip.dst == IPアドレス

フィルタしたい項目を選ぶだけで簡単にできるので、Filterの構文を覚えなくてもいいのがうれしい。

HTTPのポート番号を変えている場合

WiresharkではHTTPの場合にHTTPの中身をキャプチャしてくれ、ヘッダ情報などを確認できる。

しかし、複数のサーバを立てたりするときに、ポートを変えて対応した場合、WiresharkではHTTPとして認識されない。それだとHTTPのヘッダ情報を見れないので、対応付けしてあげるとよい。

例えば、ポート6666を使ってApacheを起動していた場合、該当のパケットを選択してそれを右クリック>Decode
As>Transportタブ>TCP source(6666) port(s) as HTTPとする。すると下の詳細欄に「Hypertext
Transfer Protocol」といったツリーが表示される。