一馬力のメモ帳

MVSからLinuxまで。基盤屋さんは眠らない

Wiresharkでキャプチャしたパケットを文字列で検索したい

Wiresharkでパケットを探すとき

  • 表示フィルタで選んだり
  • TCPストリームで追跡したり

って。パケットの中身を知っていれば探せる方法はあるものの。

「この文字列がパケットの中にあるのにどんなプロトコルか分からん!!」

ってシーンでは。パケット全体を文字列検索したくなりますよね。
UNIX系コマンドで言うところのGrepです。

今回は、この「Wiresharkで文字列検索したい!」というときの例を紹介したいと思います。



目次


パケットの検索機能の呼び出し方2種類

パケットの検索機能を呼び出す方法は2種類あります。

  • メニューからから呼び出し
  • メインツールバーから呼び出し

メニューから呼び出す方法

メニューから呼び出す場合は

メニュー > 編集 > パケットの検索…F  

 メインツールバーから呼び出す方法

メインツールバーから呼び出す場合は「虫眼鏡」マークをクリックします。

パケットの検索機能の説明 (文字列の場合)

パケット検索機能を呼び出したら,検索方法を「文字列」に変更します。

検索方法は他にも

  • 文字列 (今回の説明対象)
  • 16進数値
  • 表示フィルタ
  • 正規表現

などの検索方があります。

つづいて「検索対象」「検索文字コード」を選択します。
単純な検索であれば

  • パケット一覧
  • ナローとワイド

を選択し検索してみましょう。

最後に検索文字列を入力し「検索」ボタンをクリックすれば
見つかったパケットまでジャンプできます。

文字列検索の方法(まとめ)

文字列検索の方法は

  • 「パケット検索」の呼び出し
  • 検索方法,検索対象,検索文字列を選択

で文字列検索が可能です。

[参考]検索対象の説明

パケットの検索を行う場合、検索対象として3種類選択可能です。

  • パケット一覧
  • パケット詳細
  • パケットバイト列

それぞの検索対象のイメージは下の図の通り

参考になれば幸いです。

試した環境

ホストOS

Apple iMac 21.5インチ 1.6GHz Corei5 8GB 1TB MK142J/A

iMac (27-inch, Mid 2010)

macOS High Sierra
 システムのバージョン:    macOS 10.13.4 (17E202)
 カーネルのバージョン:    Darwin 17.5.0

 Wireshark

Wireshark
    Version 2.4.3 (v2.4.3-0-g368ba1e)