Linux Memo/Wireshark

Wireshark(旧Ethereal) †

Etherealは2006年6月にWireshark(ワイヤシャーク)に名前を変更まだ、このメモはEtherealのときのもである。

$ tar xvfz ethereal-0.8.7.tar.gz
$ cd ethereal-0.8.7
$ ./configure
$ make
# su
# make install
# make install-man
# exit

Filter実例 †

host指定　

host 192.168.10.252

dst(src) host 10.99.99.173

net指定とftp指定　net 192.168.10.0/24 and port 21

host指定とftp指定またはssh指定 192.168.10.6 and(port 21 or port 22)

macアドレスの指定

ether host 08:00:08:15:ca:fe

ether src(dst) 08:00:08:15:ca:fe

Captuer Filterがtcpdumと同じ

# tcpdump host 192.168.0.1

hostは、ホスト名、IPアドレスの指定の他、MACアドレスでも指定できちゃいます。 その場合は　ether host と指定するようにして下さい。 　

# tcpdump net 192.168 

netでネットワークアドレスを指定できます。 この例だと、192.168.x.xを流れるパケットを拾いまくります。 　

# tcpdump port ftp 

portでポートの指定が出来ます。 ポート番号はもちろん、/etc/servicesに書かれているサービス名での指定が出来ます。

# tcpdump src host xfile

こうすると、ホストxfileから送信されるパケットを拾います。

# tcpdump dst host xfile

ホストxfileへ送信されるパケットを拾います。

# tcpdump -i ed0 host xfile

• iオプションでネットワークインタフェースを指定できます。 この例だと、ホストxfileのed0を通過するパケットを表示します。

• iオプションを使わなかった時には、ifconfig等で最初に見つかったインタフェースが使用されます(lo0を除く)。 lo0を観測したいときとか、マルチホーミングなホストで使用するオプションですな。

# tcpdump -x host xfile 

• xオプションで怒濤のパケット16進ダンプ