• ベストアンサー
  • すぐに回答を!

パケットキャプチャについて

パケットキャプチャについて wiresharkでパケットキャプチャをやっております。tcpでsynのパケットのみを収集したいのですが、現在では、 (1)ファイルの読み込み (2)フィルタの条件でtcp.flag.fin == 0 and tcp.fla.syn ==1 and tcp.flg.ack == 0 と入れフィルタリング。 (3)結果のファイルを保存 となって大変時間がかかります。cuiでコマンドライン上で一発ですませられる方法はありませんか?

noname#182748

共感・応援の気持ちを伝えよう!

  • 回答数2
  • 閲覧数1830
  • ありがとう数5

質問者が選んだベストアンサー

  • ベストアンサー
  • 回答No.1

こんにちは。下記のページが参考になると思います。コメント欄もご覧下さい。「Wireshark キャプチャ フィルタ syn fin」でインターネット検索しました。 tcpdumpやwiresharkでTCP制御フラグを指定してパケットを収集する方法(Eiji James Yoshidaの記録) http://d.hatena.ne.jp/EijiYoshida/20080625/1214342918 > tcpdumpやwiresharkでTCP制御フラグを指定してパケットを収集する方法 ... > SYNフラグのみ設定されたパケットの収集:"tcp[13] & 255 == 2" WIRESHARK - 簡単なチュートリアル - フィルタ http://openmaniak.com/ja/wireshark_filters.php 上記をヒントにキャプチャフィルタを設定して試してみては。当方がWindows XP SP3でEthereal(Wiresharkの前身)を使い、 "tcp[13] & 255 == 2"をフィルタとして設定しましたところ、SYNフラグのみのパケットが収集できました。

共感・感謝の気持ちを伝えよう!

関連するQ&A

  • パケットキャプチャについて(WinPcap_)

    よろしくお願いします。 下記URLでWinPcapを利用したパケットキャプチャの方法が記載されています。 http://codezine.jp/a/article.aspx?aid=126 (1)AirH等無線LAN機器のパケットキャプチャの実行に失敗するのですが、WINPCAPは無線LANは非対応なのでしょうか?通常のLAN接続はキャプチャできます。 (2)WireShark(旧Ethereal)ではリアルタイムにパケットキャプチャが実行されるのですが、上記URLのやり方では、リアルタイムにパケットキャプチャできないのと、大量のパケットキャプチャを行うと、パケットの取り漏れが発生する場合があります。リアルタイムでかつパケットロスのないキャプチャ方法をご教授していただけないでしょうか?

  • パケットキャプチャとファイアウォールの関係について

    端末マシンでUDPで受信していることをパケットキャプチャ(wireshark)が示しているのですが、アプリケーションでは受信できません。 端末マシンのファイアウォールの設定のためかと思いましたが、パケットキャプチャで受信が確認できているため原因がわかりません。 パケットキャプチャは、セキュリティソフトがブロックした場合でも表示されるのでしょうか。 同様に、NTPで時間が取得できないのに、キャプチャができています。 このあたり、ブロックはされてしまうパケットも、とりあえずマシンにやってきたものはすべてキャプチャされるのでしょうか。

  • パケットキャプチャについて

    よろしくお願いします。 下記サイトにて二通りのパケットキャプチャ方法が紹介されています。 (1)WinSock2を使用したパケットモニターの作成 http://codezine.jp/a/article.aspx?aid=125 (2)WinPcapを使用したパケットモニターの作成 http://codezine.jp/a/article.aspx?aid=126 どちらもパケットキャプチャは実行できたのですが、大量のパケットを送信するとパケットの取り漏れが発生するという問題がありました。 (1)のURLからEXEをダウンロードして実行し、10MB程度のメールを送信すると100%再現します。なお、WIRESHARKでキャプチャすると全てのパケットがキャプチャできていました。 何日もソースをおっかけたり、いろいろ試行錯誤したのですが、解明することができませんでした。 どなかたアドバイスいただけないでしょうか?

その他の回答 (1)

  • 回答No.2

申し忘れましたが、 > cuiでコマンドライン上で一発ですませられる方法はありませんか? お使いのOSとバージョンが書かれていませんが、UNIX/Linuxですとtcpdump、WindowsですとWindumpがあります。それぞれの名前でインターネット検索しますと、各種ウェブサイトで解説を見つけることができます。紹介したページ及びコメントによると、tcpdumpでも先ほど引用したフィルタの式や別解(”tcp[tcpflags] & (tcp-syn|tcp-fin) != 0”)が使えるようですね。

共感・感謝の気持ちを伝えよう!

質問者からのお礼

ありがとうございます。本当にありがとうございます。修論の執筆中で膨大なデータの処理に困っていました。大変参考になりました。あつくお礼を申し上げます。

関連するQ&A

  • パケットキャプチャ-を監視PCにはアドレスが必要なのか?

    パケットキャプチャ-を監視PCにはアドレスが必要なのか? 簡易ネットワーク内のパケットをキャプチャ-しようとミラーポート付きHUBを購入。キャプチャ-ソフトはWireSharkを使用予定。 パケット監視端末には必ずアドレスが必要なのでしょうか?

  • 指定アプリのパケットキャプチャがしたい

    パケットキャプチャソフトには、Wireshark等のソフトがあるかと思いますが、 指定アプリケーションのパケットキャプチャを行うソフトはありますか? 「指定アプリケーション」が通信しているポートやプロトコルは分からない状態です。 ファイヤーウォールソフトなどで、「○○アプリが通信しようとしています」と言われるので、 技術的には可能かと思っています・・・。 OS Windows7 32bit

  • パケットキャプチャを定期的に取得し破棄したい・・・

    パケットキャプチャを定期的に取得し、破棄したいのですが・・・WireSharkでは出来ないですよね? ずーっと取りっぱなしの設定しかできないから定期的に取得して定期的に削除なんて芸当はこのソフトは機能を備えていないらしくて・・・ なにかいい方法はないでしょうか?

  • 無線のパケットキャプチャにおけるプロトコルについて

    パケットキャプチャソフト(OmniPeek)を使用して802.11(無線)のパケットキャプチャを取得しています。 取得しているパケットキャプチャにプロトコルが表示されるのですが、”CFE"と言うプロトコルが表示されていますが、このプロトコルだけが調べても見つかりませんでした。 他にRTS,CTS, Encripted Data,ACK,BAのプロトコルがあり、それらは調べて以下のように意味を解釈しましたが、"CFE"については見つからないため、意味が理解できていません。 ご存知の方がいましたらご教示を頂けますようお願い致します。 -------------------------------- RTS(Request To Send):端末側からアクセスポイントに通信許可を問い合わせる信号。 CTS(Clear to Send):アクセスポイントから端末に通信許可を与える信号。 Encrypted Data:WEP、TKIP、AESで暗号化されたデータ。 ACK(Acknowledgment):データ伝送で受信側から送信側へ送られる肯定的な返事。 BA(Block Ack):フレームアグリメーション方式の種類であるA-MPDUにおいて複数のデータに対して一括のACK(肯定的)な返事。 -------------------------------

  • 別PCのパケットキャプチャが上手くいかない

    自宅にある別PCのパケットをキャプチャしたいと思っているのですが、なかなか上手くいきません。 別PCのパケットキャプチャをするには、まずLANを組む必要があると思うのですが、以下の環境ではLANとはなりませんか? ルータ ┣WinXP PC A(有線接続 このPC) ┗Vista PC B(無線接続 キャプチャしたいPC) このPC AとPC Bは、XPでいうところの「ホーム/小規模オフィスのネットワークをセットアップする」という事は双方してません。 LANが組めていれば、マイネットワークでワークグループを表示したら接続されているPCが表示されると記憶しているのですが、 表示させようとすると「Mshomeにアクセスできません。~このワークグループのサーバ一覧を現在利用できません」と警告が出ます。 別PCのパケットキャプチャですが、様々なソフトをインストールしてみましたが、自分のPCのIPアドレスしか表示されずPC BのIPアドレスが出てきません。 インストールしたソフト ・Squeezer ・tcpmon200 ・WildPackets OmniPeek Personal ・EPD ・Wireshark LANが組めていない、となるとカテゴリが異なるので、もう少し調べてLAN接続をしっかりしてから出直してきます。

  • TCPの接続処理と終了処理について

    TCPでコネクションを確立するとき、制御フラグでSYN、SYN+ACK、ACKで3パケットをやりとしますが、終了手順のときは、FIN、ACK、FIN、ACKと4パケットをやりとりします。 これは何故でしょうか? コネクション確立時と同じく、FIN、FIN+ACK、ACKにしないのは何故でしょうか?教えてください。

  • パケットキャプチャツール(WireSharkなど)

    Wiresharkというパケットキャプチャーツールを使ってみたんですが、イーサネットのFCSにあたるデータが、パケットダンプに表示されません・・・。 マニュアルを見てみても、ツールが排除している記述が見当たりませんでした(英文なので見落としているかもしれませんが・・・) 様々なパケットキャプチャのツールがあると思いますが、一般的に、イーサネットのFCSはダンプしないのが「暗黙のルール」として存在しているのでしょうか? ご存知の方がおられたら教えてくださいm(__)m よろしくお願いいたします。

  • Wiresharkで長期間キャプチャできますか?

    1ヶ月間常時パケットキャプチャしておき、後ほどアプリの動作に問題があった場合は特定時間の状態を調べたいと思っています。 試しに20分間キャプチャして試したところ、ちゃんとフィルタをした結果でも20MB程度になってしまい、1ヶ月で40GBを超えます。 この条件でWiresharkは動作するでしょうか? さすがに難しいと思うので、自動でログローテーションさせるなどの運用方法はありませんか? また、Wiresharkで表示されている時間はキャプチャ開始からの時間のようですが、日時を知る方法はありますか? よろしくお願いします。

  • Wireshark 該当時間のみ抽出

    Wiresharkの フィルタリング方法について質問です。 現在、会社のルータのCPUが高騰している時間でどのような通信が行われているのかWiresharkを用いて解析をしようとしています。 キャプチャは事前にしかけており、丸一日のキャプチャログがある状態で、そこから該当時間のキャプチャのみ絞り込もうとしています。 ですが、Wiresharkで以下のフィルタをかけても該当時間からパケットキャプチャが終了した時間までのデータを出力してしまいます。 frame.time > "2015-06-11 09:59:00.000" やりたいこととして、9:59のログのみWireshark上へ表示させたいと考えています。 そこから、IPやプロトコルなどでさらに細かく絞り込む予定です。 フィルタで可能なのか、もしくはWiresharkの別の機能を使えば可能なのか、ご教示ください。 宜しくお願いします。

  • WiresharkのFlow Graph

    現在WiresharkのFlow Graphという機能を使用して、クライアント端末がサーバー端末へのTCP通信での3ウェイハンドシェイクのパケットやりとりを観測したいと思っています。 次のようなパケットをモニターしました。 |Time | 192.168.1.111 | | | | 192.168.1.222 | |6.402 | PSH, ACK - Len: 1212 |Seq = 1 Ack = 1 | |(6057) ------------------> (5000) | |6.606 | PSH, ACK - Len: 1212 |Seq = 1 Ack = 1 | |(6057) ------------------> (5000) | |6.835 | PSH, ACK - Len: 1212 |Seq = 1 Ack = 1213 | |(6057) <------------------ (5000) | |7.039 | ACK | |Seq = 1213 Ack = 1213 | |(6057) ------------------> (5000) | |7.150 | ACK | |Seq = 1213 Ack = 1213 このパケットのやりとりを観ていて思ったのですが、TCP通信は3ウェイハンドシェイクは SYN--->SYN ACK---> ACK という順序でのパケットのやりとりをクライアントとサーバー間で行うと思っていたのですが、 PSH, ACK ----> PSH, ACK ----> ACK ----> ACK このような順序になっているように思うのですが、これはなぜなのかご教授頂けないでしょうか? どうぞ、よろしくお願い致します。