Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
2012年7月30日 ネットワークパケットを読む会(仮) 第10回発表資料         何が変わった!? Wireshark 1.8                                 @k_morihisa          ...
自己紹介                    • Twitter: @k_morihisa                    • 社会人2年目                     • 都内の会社で IDS/IPS に関する仕事    ...
Wireshark 1.8.0 Release Notes                    • 一次情報源                    • http://www.wireshark.org/docs/relnotes/     ...
Wireshark 1.8 変更点                    •   大きな変更点(1.6 から)                        •   複数の NIC で同時にキャプチャ可能                    ...
複数の NIC で同時にキャプチャ可能                    • デモ                           5Monday, July 30, 2012                   5
複数の NIC で同時にキャプチャ可能                    • 特定の NIC を選択することも,                        すべての NIC を選択することも可能                     ...
キャプチャ時のフィルタリング                    •    NIC 名をダブルクリックして,                         Capture Filter に入力する.                    •...
ファイルの保存形式が変更(pcapng)                    • デモ                            8Monday, July 30, 2012                     8
ファイルの保存形式が変更(pcapng)                    • pcapng とは?                     • PCAP Next Generation の略                     • l...
ファイルの保存形式が変更(pcapng)                    • デフォルトの保存形式                     • Wireshark 1.6 までは pcap                     • Wi...
pcapng の互換性                    •   pcap と pcapng は全くの別物!                    •   大抵のプログラムは pcap 形式にしか                      ...
pcap - pcapng 変換                    • .pcap から .pcapng へ                     • tshark -F pcapng -r file.pcap -w file.pcapng ...
pcapng どうよ?                    • 使うメリットがほとんどない                     • Wireshark 1.8 ではコメント機能のみ                     • その他の機能...
パケットにコメント                    • デモ                               14Monday, July 30, 2012                  14
パケットにコメント                    • 1パケットごとにコメントを書ける                    • 複数行も書ける                    • 日本語は未対応                 ...
パケットにコメント                    • Severity level や Group などの項目がある                    • 今後,さらに機能追加されるかも...                    ...
以上!                         17Monday, July 30, 2012         17
Upcoming SlideShare
Loading in …5
×

何が変わった!? Wireshark 1.8

10,477 views

Published on

第10回「ネットワークパケットを読む会(仮)」勉強会の発表資料です.Wireshark 1.8 の変更点について紹介してます.
追記メモ(2012/Jul/31st):Wireshark 1.8 で保存形式を pcapng から pcap にする方法 → メニューの Edit→Preferences→Capture で「Capture packets in pcap-ng format」のチェックボックスをオフにする.

Published in: Business
  • Be the first to comment

何が変わった!? Wireshark 1.8

  1. 1. 2012年7月30日 ネットワークパケットを読む会(仮) 第10回発表資料 何が変わった!? Wireshark 1.8 @k_morihisa 1Monday, July 30, 2012 1
  2. 2. 自己紹介 • Twitter: @k_morihisa • 社会人2年目 • 都内の会社で IDS/IPS に関する仕事 • プライベートでイベント会場の ネットワーク構築など (LLPlanets 2011, LLDecade 2012 に参加) 2Monday, July 30, 2012 2
  3. 3. Wireshark 1.8.0 Release Notes • 一次情報源 • http://www.wireshark.org/docs/relnotes/ wireshark-1.8.0.html 3Monday, July 30, 2012 3
  4. 4. Wireshark 1.8 変更点 • 大きな変更点(1.6 から) • 複数の NIC で同時にキャプチャ可能 • デフォルトのファイル保存形式が pcapng に変更 • パケットにコメントが書ける • 細かい変更点 • tshark のコマンドオプション変更や 802.11(無線)の 管理,IPv6 の GeoIP 対応など 4Monday, July 30, 2012 4
  5. 5. 複数の NIC で同時にキャプチャ可能 • デモ 5Monday, July 30, 2012 5
  6. 6. 複数の NIC で同時にキャプチャ可能 • 特定の NIC を選択することも, すべての NIC を選択することも可能 6Monday, July 30, 2012 6
  7. 7. キャプチャ時のフィルタリング • NIC 名をダブルクリックして, Capture Filter に入力する. • 注意! • NIC ごとに入力する必要有り • 全ての NIC を対象とするフィルタの 入力欄はありません 参考:Wireshark 1.8 でちょっと変更された事(Hebikuzures Tech Memo) http://hebikuzure.wordpress.com/category/windows-%E3%83%84%E3%83%BC%E3%83%AB/ 7Monday, July 30, 2012 7
  8. 8. ファイルの保存形式が変更(pcapng) • デモ 8Monday, July 30, 2012 8
  9. 9. ファイルの保存形式が変更(pcapng) • pcapng とは? • PCAP Next Generation の略 • libpcap を用いた次世代パケット保存形式 • 参考情報 • http://wiki.wireshark.org/Development/PcapNg • http://www.winpcap.org/ntar/draft/PCAP-DumpFileFormat.html 9Monday, July 30, 2012 9
  10. 10. ファイルの保存形式が変更(pcapng) • デフォルトの保存形式 • Wireshark 1.6 までは pcap • Wireshark 1.8 からは pcapng • 実は 1.2 の頃から読み込みできたらしい • Wireshark and Pcap-ng (The official Wireshark blog) • https://blog.wireshark.org/2012/03/wireshark-and-pcap-ng/ 10Monday, July 30, 2012 10
  11. 11. pcapng の互換性 • pcap と pcapng は全くの別物! • 大抵のプログラムは pcap 形式にしか 対応していない • 例) tcpdump 対応済み • バージョン tcpdump 4.1.0 & libpcap 1.1.0 以上 • 例) Network Miner 1.3 は未対応 • http://www.netresec.com/?page=NetworkMiner 11Monday, July 30, 2012 11
  12. 12. pcap - pcapng 変換 • .pcap から .pcapng へ • tshark -F pcapng -r file.pcap -w file.pcapng • .pcapng から .pcap へ • tcpdump -r file.pcapng -w file.pcap • tcpdump のバージョンに注意! 12Monday, July 30, 2012 12
  13. 13. pcapng どうよ? • 使うメリットがほとんどない • Wireshark 1.8 ではコメント機能のみ • その他の機能があったらゴメンナサイ • デフォルトの保存形式を選択する 機能はない...\(^o^)/ 今後,長いお付き合いになりそう 13Monday, July 30, 2012 13
  14. 14. パケットにコメント • デモ 14Monday, July 30, 2012 14
  15. 15. パケットにコメント • 1パケットごとにコメントを書ける • 複数行も書ける • 日本語は未対応 • コメント表示欄で文字化けする… 15Monday, July 30, 2012 15
  16. 16. パケットにコメント • Severity level や Group などの項目がある • 今後,さらに機能追加されるかも... 16Monday, July 30, 2012 16
  17. 17. 以上! 17Monday, July 30, 2012 17

×