一馬力のメモ帳

MVSからLinuxまで。基盤屋さんは眠らない

Wiresharkの表示フィルタで選択したパケットを保存したい[macOS]

### 広告 ###

大量のパケットをキャプチャしてWiresharkで分析するとき
表示フィルタで絞った内容だけ別ファイルに保存したい事ありません?

今回はキャプチャしたパケットからプロトコルDNS”にしぼって保存するシーンを例に説明したいと思います。

目次


対象のパケットキャプチャを開く

まずインプットとなるパケットキャプチャを開きます。
今回は”DNS”部分を抜き出して保存します。

f:id:htbariki:20180603175610p:plain

 表示フィルタで必要なパケットを選択する

Wiresharkの表示フィルタにプロトコル名を入力すると
そのプロトコルに関連するパケットのみ表示する事ができます。

今回は”DNS”関連パケットを表示したいので,表示フィルタ部分に”dns”入力しフィルタします。

参考)よく使うプロトコル

DNS以外にも一般的なプロトコルはフィルタ可能です。例えば

など

f:id:htbariki:20180603175620p:plain

表示フィルタので選択したパケットを保存(エクスポート)

表示フィルタでパケットを選択したらメニュから

ファイル(F) > 指定したパケットをエクスポート…

エクスポート画面が表示されます。

f:id:htbariki:20180603175606p:plain

 指定したパケットをエクスポート

「指定したパケットをエクスポート」のポップアップが表示されたら
エクスポートするパケットの範囲を選択していきます。

今回は「表示フィルタで選択したパケット」をエクスポートしたいので

  • すべてのパケット(A)
  • 表示されたパケット

の2階所を選択して保存します。

パケットの範囲の選択は「表」をイメージすると分かりやすいです。
縦列と横列の合わさった部分がエクスポート対象です。

今回の場合は下の図の2パケットがエクスポート対象となります。

f:id:htbariki:20180603175601p:plain

保存したパケットを開いてみる

前のステップで保存したパケットを開いてみます。

これ例ではファイル名「dns.pcapng」です。

f:id:htbariki:20180603175616p:plain

Wiresharkで開くと表示フィルタで選択した2パケットのみエクスポートされています。

f:id:htbariki:20180603175625p:plain

大きなキャプチャをそのまま分析するのは大変です。
必要な部分のみ抜き出して分析すると,Wiresharkの負荷も下がり作業効率はあがります。
ぜひ試してみてください

参考になれば幸いです。

試した環境

ホストOS

Apple iMac 21.5インチ 1.6GHz Corei5 8GB 1TB MK142J/A

iMac (27-inch, Mid 2010)

macOS High Sierra
 システムのバージョン:    macOS 10.13.4 (17E202)
 カーネルのバージョン:    Darwin 17.5.0

 Wireshark

Wireshark
    Version 2.4.3 (v2.4.3-0-g368ba1e)