Wireshakでもキャプチャ取得はできますが、大容量のキャプチャを取得する場合にメモリを消費しすぎて、途中で停止するなどの事態に陥ります。
その場合はWiresharkと併せてインストールされるCLI版パケットキャプチャのtsharkをコマンドプロンプトから使用します。
★キャプチャするインタフェースの確認
tsharkを使用するにあたりキャプチャするインタフェースを特定する必要があります。
インタフェースを確認するコマンドは以下になります。
上記のコマンドを実行すると以下のような結果が表示されます。
2. \Device\NPF_{xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxx} (ローカルエリア接続2)
こちらのインタフェース番号を実行時に指定します。
★tsharkの引数
tsharkでキャプチャ取得する場合の代表的な引数は以下です。
-i <interface> : インタフェース番号を指定(上で確認した番号)
-s <snaplen> : パケットのキャプチャサイズを指定
-b duration:<num> : 指定した秒数超過で次のファイルに保存
-b filesize:<num> : 指定したファイルサイズ(kB)超過で次のファイルに保存
-b file:<num> : 指定したファイル数超過で古いファイルから上書き
-w <filename> : filenameに指定したファイルに保存
-f <capfilter> : capfilterに指定した条件でフィルター(libcap方式)
(実行例)
上記では
・インタフェース番号1のインタフェースで取得
・128byteに取得パケットサイズをスライス
・10MB超過で次のファイルに保存
・C:\capture\test_yyyymmddhhmmss.pcapに保存
・IPアドレスが192.168.0.1でかつhttpのパケットのみ保存
という内容になります。
■こちらの記事も合わせて読んでみてください!
・wiresharkのフィルター
・tsharkでのキャプチャ編集