卒業生アイコン

Wiresharkはパケットキャプチャツールとして、ものすごく有名なので
利用されている方が多いと思います。

これに同梱されているTsharkというツールはご存知でしょうか?
Tsharkはコマンドラインベースのパケット解析ツールです。

コマンドラインでできるといろいろ便利なときもありますので、
簡単に使い方をご紹介いたします。

LINUXでしたらパッケージが用意されていますので、

# apt-get install tshark

のように簡単にインストールできます。

コマンドの使い方の前に事前インターフェース確認を行います。

# tshark –D

これで利用できるインターフェースが一覧表示されます。

NICの番号が表示され、その番号を指定してキャプチャを行うインター
フェースを指定する形になりますが、直接eth0等と記載しても問題あ
りません。

以下がeth0を指定してキャプチャを行うコマンドになります。

# tshark –i eth0

利用できるオプションの一部をご紹介します。

-V:プロトコルパケットまでの詳細表示
-w:ファイルにキャプチャ結果を書き込み
-r:ファイルからキャプチャ結果を読み出し
-n:名前解決したホスト名ではなくIPアドレスやポート番号等の数値を直接表示する
-f:libpacpフォーマットのフィルタが可能
例)tshark –i eth0 –f “icmp”