tsharkの使い方

Wireshakでもキャプチャ取得はできますが、大容量のキャプチャを取得する場合にメモリを消費しすぎて、途中で停止するなどの事態に陥ります。
その場合はWiresharkと併せてインストールされるCLI版パケットキャプチャのtsharkをコマンドプロンプトから使用します。

スポンサーリンク

★キャプチャするインタフェースの確認
tsharkを使用するにあたりキャプチャするインタフェースを特定する必要があります。
インタフェースを確認するコマンドは以下になります。

>”C:\Program Files\Wireshark\tshark.exe” -D

上記のコマンドを実行すると以下のような結果が表示されます。

1. \Device\NPF_{xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxx} (ローカルエリア接続1)
2. \Device\NPF_{xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxx} (ローカルエリア接続2)

こちらのインタフェース番号を実行時に指定します。

★tsharkの引数
tsharkでキャプチャ取得する場合の代表的な引数は以下です。
-i <interface>             : インタフェース番号を指定(上で確認した番号)
-s <snaplen>              : パケットのキャプチャサイズを指定
-b duration:<num>     : 指定した秒数超過で次のファイルに保存
-b filesize:<num>       : 指定したファイルサイズ(kB)超過で次のファイルに保存
-b file:<num>            : 指定したファイル数超過で古いファイルから上書き
-w <filename>           : filenameに指定したファイルに保存
-f <capfilter>             : capfilterに指定した条件でフィルター(libcap方式)

(実行例)

>”C:\Program Files\Wireshark\tshark.exe” -i 1 -s 128 -b filesize:10000 -w C:\capture\test.pcap -f “host 192.168.0.1 and port 80”

上記では
・インタフェース番号1のインタフェースで取得
・128byteに取得パケットサイズをスライス
・10MB超過で次のファイルに保存
・C:\capture\test_yyyymmddhhmmss.pcapに保存
・IPアドレスが192.168.0.1でかつhttpのパケットのみ保存
という内容になります。
 

■こちらの記事も合わせて読んでみてください!
wiresharkのフィルター
tsharkでのキャプチャ編集
 

スポンサーリンク

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください