何が変わった!? Wireshark 1.8
Upcoming SlideShare
Loading in...5
×
 

何が変わった!? Wireshark 1.8

on

  • 6,234 views

第10回「ネットワークパケットを読む会(仮)」勉強会の発表資料です.Wireshark 1.8 の変更点について紹介してます.

第10回「ネットワークパケットを読む会(仮)」勉強会の発表資料です.Wireshark 1.8 の変更点について紹介してます.
追記メモ(2012/Jul/31st):Wireshark 1.8 で保存形式を pcapng から pcap にする方法 → メニューの Edit→Preferences→Capture で「Capture packets in pcap-ng format」のチェックボックスをオフにする.

Statistics

Views

Total Views
6,234
Views on SlideShare
6,166
Embed Views
68

Actions

Likes
0
Downloads
19
Comments
0

4 Embeds 68

https://twitter.com 55
https://si0.twimg.com 8
https://twimg0-a.akamaihd.net 4
http://us-w1.rockmelt.com 1

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

何が変わった!? Wireshark 1.8 何が変わった!? Wireshark 1.8 Presentation Transcript

  • 2012年7月30日 ネットワークパケットを読む会(仮) 第10回発表資料 何が変わった!? Wireshark 1.8 @k_morihisa 1Monday, July 30, 2012 1
  • 自己紹介 • Twitter: @k_morihisa • 社会人2年目 • 都内の会社で IDS/IPS に関する仕事 • プライベートでイベント会場の ネットワーク構築など (LLPlanets 2011, LLDecade 2012 に参加) 2Monday, July 30, 2012 2
  • Wireshark 1.8.0 Release Notes • 一次情報源 • http://www.wireshark.org/docs/relnotes/ wireshark-1.8.0.html 3Monday, July 30, 2012 3
  • Wireshark 1.8 変更点 • 大きな変更点(1.6 から) • 複数の NIC で同時にキャプチャ可能 • デフォルトのファイル保存形式が pcapng に変更 • パケットにコメントが書ける • 細かい変更点 • tshark のコマンドオプション変更や 802.11(無線)の 管理,IPv6 の GeoIP 対応など 4Monday, July 30, 2012 4
  • 複数の NIC で同時にキャプチャ可能 • デモ 5Monday, July 30, 2012 5
  • 複数の NIC で同時にキャプチャ可能 • 特定の NIC を選択することも, すべての NIC を選択することも可能 6Monday, July 30, 2012 6
  • キャプチャ時のフィルタリング • NIC 名をダブルクリックして, Capture Filter に入力する. • 注意! • NIC ごとに入力する必要有り • 全ての NIC を対象とするフィルタの 入力欄はありません 参考:Wireshark 1.8 でちょっと変更された事(Hebikuzures Tech Memo) http://hebikuzure.wordpress.com/category/windows-%E3%83%84%E3%83%BC%E3%83%AB/ 7Monday, July 30, 2012 7
  • ファイルの保存形式が変更(pcapng) • デモ 8Monday, July 30, 2012 8
  • ファイルの保存形式が変更(pcapng) • pcapng とは? • PCAP Next Generation の略 • libpcap を用いた次世代パケット保存形式 • 参考情報 • http://wiki.wireshark.org/Development/PcapNg • http://www.winpcap.org/ntar/draft/PCAP-DumpFileFormat.html 9Monday, July 30, 2012 9
  • ファイルの保存形式が変更(pcapng) • デフォルトの保存形式 • Wireshark 1.6 までは pcap • Wireshark 1.8 からは pcapng • 実は 1.2 の頃から読み込みできたらしい • Wireshark and Pcap-ng (The official Wireshark blog) • https://blog.wireshark.org/2012/03/wireshark-and-pcap-ng/ 10Monday, July 30, 2012 10
  • pcapng の互換性 • pcap と pcapng は全くの別物! • 大抵のプログラムは pcap 形式にしか 対応していない • 例) tcpdump 対応済み • バージョン tcpdump 4.1.0 & libpcap 1.1.0 以上 • 例) Network Miner 1.3 は未対応 • http://www.netresec.com/?page=NetworkMiner 11Monday, July 30, 2012 11
  • pcap - pcapng 変換 • .pcap から .pcapng へ • tshark -F pcapng -r file.pcap -w file.pcapng • .pcapng から .pcap へ • tcpdump -r file.pcapng -w file.pcap • tcpdump のバージョンに注意! 12Monday, July 30, 2012 12
  • pcapng どうよ? • 使うメリットがほとんどない • Wireshark 1.8 ではコメント機能のみ • その他の機能があったらゴメンナサイ • デフォルトの保存形式を選択する 機能はない...\(^o^)/ 今後,長いお付き合いになりそう 13Monday, July 30, 2012 13
  • パケットにコメント • デモ 14Monday, July 30, 2012 14
  • パケットにコメント • 1パケットごとにコメントを書ける • 複数行も書ける • 日本語は未対応 • コメント表示欄で文字化けする… 15Monday, July 30, 2012 15
  • パケットにコメント • Severity level や Group などの項目がある • 今後,さらに機能追加されるかも... 16Monday, July 30, 2012 16
  • 以上! 17Monday, July 30, 2012 17