何が変わった!? Wireshark 1.8

9,928 views

Published on

第10回「ネットワークパケットを読む会(仮)」勉強会の発表資料です.Wireshark 1.8 の変更点について紹介してます.
追記メモ(2012/Jul/31st):Wireshark 1.8 で保存形式を pcapng から pcap にする方法 → メニューの Edit→Preferences→Capture で「Capture packets in pcap-ng format」のチェックボックスをオフにする.

Published in: Business
0 Comments
2 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
9,928
On SlideShare
0
From Embeds
0
Number of Embeds
91
Actions
Shares
0
Downloads
29
Comments
0
Likes
2
Embeds 0
No embeds

No notes for slide

何が変わった!? Wireshark 1.8

  1. 1. 2012年7月30日 ネットワークパケットを読む会(仮) 第10回発表資料 何が変わった!? Wireshark 1.8 @k_morihisa 1Monday, July 30, 2012 1
  2. 2. 自己紹介 • Twitter: @k_morihisa • 社会人2年目 • 都内の会社で IDS/IPS に関する仕事 • プライベートでイベント会場の ネットワーク構築など (LLPlanets 2011, LLDecade 2012 に参加) 2Monday, July 30, 2012 2
  3. 3. Wireshark 1.8.0 Release Notes • 一次情報源 • http://www.wireshark.org/docs/relnotes/ wireshark-1.8.0.html 3Monday, July 30, 2012 3
  4. 4. Wireshark 1.8 変更点 • 大きな変更点(1.6 から) • 複数の NIC で同時にキャプチャ可能 • デフォルトのファイル保存形式が pcapng に変更 • パケットにコメントが書ける • 細かい変更点 • tshark のコマンドオプション変更や 802.11(無線)の 管理,IPv6 の GeoIP 対応など 4Monday, July 30, 2012 4
  5. 5. 複数の NIC で同時にキャプチャ可能 • デモ 5Monday, July 30, 2012 5
  6. 6. 複数の NIC で同時にキャプチャ可能 • 特定の NIC を選択することも, すべての NIC を選択することも可能 6Monday, July 30, 2012 6
  7. 7. キャプチャ時のフィルタリング • NIC 名をダブルクリックして, Capture Filter に入力する. • 注意! • NIC ごとに入力する必要有り • 全ての NIC を対象とするフィルタの 入力欄はありません 参考:Wireshark 1.8 でちょっと変更された事(Hebikuzures Tech Memo) http://hebikuzure.wordpress.com/category/windows-%E3%83%84%E3%83%BC%E3%83%AB/ 7Monday, July 30, 2012 7
  8. 8. ファイルの保存形式が変更(pcapng) • デモ 8Monday, July 30, 2012 8
  9. 9. ファイルの保存形式が変更(pcapng) • pcapng とは? • PCAP Next Generation の略 • libpcap を用いた次世代パケット保存形式 • 参考情報 • http://wiki.wireshark.org/Development/PcapNg • http://www.winpcap.org/ntar/draft/PCAP-DumpFileFormat.html 9Monday, July 30, 2012 9
  10. 10. ファイルの保存形式が変更(pcapng) • デフォルトの保存形式 • Wireshark 1.6 までは pcap • Wireshark 1.8 からは pcapng • 実は 1.2 の頃から読み込みできたらしい • Wireshark and Pcap-ng (The official Wireshark blog) • https://blog.wireshark.org/2012/03/wireshark-and-pcap-ng/ 10Monday, July 30, 2012 10
  11. 11. pcapng の互換性 • pcap と pcapng は全くの別物! • 大抵のプログラムは pcap 形式にしか 対応していない • 例) tcpdump 対応済み • バージョン tcpdump 4.1.0 & libpcap 1.1.0 以上 • 例) Network Miner 1.3 は未対応 • http://www.netresec.com/?page=NetworkMiner 11Monday, July 30, 2012 11
  12. 12. pcap - pcapng 変換 • .pcap から .pcapng へ • tshark -F pcapng -r file.pcap -w file.pcapng • .pcapng から .pcap へ • tcpdump -r file.pcapng -w file.pcap • tcpdump のバージョンに注意! 12Monday, July 30, 2012 12
  13. 13. pcapng どうよ? • 使うメリットがほとんどない • Wireshark 1.8 ではコメント機能のみ • その他の機能があったらゴメンナサイ • デフォルトの保存形式を選択する 機能はない...\(^o^)/ 今後,長いお付き合いになりそう 13Monday, July 30, 2012 13
  14. 14. パケットにコメント • デモ 14Monday, July 30, 2012 14
  15. 15. パケットにコメント • 1パケットごとにコメントを書ける • 複数行も書ける • 日本語は未対応 • コメント表示欄で文字化けする… 15Monday, July 30, 2012 15
  16. 16. パケットにコメント • Severity level や Group などの項目がある • 今後,さらに機能追加されるかも... 16Monday, July 30, 2012 16
  17. 17. 以上! 17Monday, July 30, 2012 17

×