TsharkはWiresharkのCLI版。今回はGUIを使わない環境でCLIで直接パケットキャプチャし解析を行い、スクリプト内で自動化する用途で構築。
環境
仮想化:VMware workstation-pro15
ホスト:Windows10
ゲスト:ubuntu22.04.3TLS
TSharkのインストール
UbuntuにTShark
をインストールする
sudo apt install tshark
インストール後の確認
利用可能なインターフェースのリストを表示
sudo tshark -D
表示されたインターフェースの中からキャプチャしたいインターフェースの番号(または名前)を指定して、以下のようにTShark
を実行。
sudo tshark -i インターフェース番号または名前
設定・出力例
インターフェースのリストの表示例
miwapinn@VM1:~$ sudo tshark -D
Running as user "root" and group "root". This could be dangerous.
1. ens33
2. ens34
3. ens35
4. br-34894d3fe50f
5. vethdf48cd7
6. veth87321e8
7. br-cfac700030c1
8. vethe6475e1
9. vethf264c88
10. vethb09c894
11. veth223737a
12. veth7ff872d
13. veth2bc5c4b
14. br-e420010af561
15. veth81b6228
16. veth2950d99
17. any
18. lo (Loopback)
19. docker0
20. bluetooth0
21. bluetooth-monitor
22. nflog
23. nfqueue
24. dbus-system
25. dbus-session
26. ciscodump (Cisco remote capture)
27. dpauxmon (DisplayPort AUX channel monitor capture)
28. randpkt (Random packet generator)
29. sdjournal (systemd Journal Export)
30. sshdump (SSH remote capture)
31. udpdump (UDP Listener remote capture)
miwapinn@VM1:~$
miwapinn@VM1:~$
TShark
の実行例
miwapinn@VM1:~$ sudo tshark -i ens33
Running as user "root" and group "root". This could be dangerous.
Capturing on 'ens33'
** (tshark:192050) 08:47:57.628025 [Main MESSAGE] -- Capture started.
** (tshark:192050) 08:47:57.628139 [Main MESSAGE] -- File: "/tmp/wireshark_ens33DHHAJ2.pcapng"
1 0.000000000 192.168.0.201 → 192.168.0.249 SSH 202 Server: Encrypted packet (len=148)
2 0.040893473 192.168.0.249 → 192.168.0.201 TCP 60 58087 → 22 [ACK] Seq=1 Ack=149 Win=511 Len=0
3 0.412210787 192.168.0.228 → 239.255.255.250 SSDP 217 M-SEARCH * HTTP/1.1
4 0.412210657 Elecom_01:11:80 → Broadcast 0x8899 60 Realtek Layer 2 Protocols
5 0.514252766 192.168.0.1 → 224.0.0.1 IGMPv2 60 Membership Query, general
6 0.515530460 192.168.0.201 → 192.168.0.249 SSH 218 Server: Encrypted packet (len=164)
7 0.527750321 192.168.0.105 → 224.0.0.251 IGMPv2 60 Membership Report group 224.0.0.251
8 0.556054131 192.168.0.249 → 192.168.0.201 TCP 60 58087 → 22 [ACK] Seq=1 Ack=313 Win=510 Len=0
9 0.616965819 Microsof_65:93:c1 → Broadcast ARP 60 Who has 192.168.0.9? Tell 192.168.0.242
10 0.738206223 192.168.0.249 → 239.255.255.250 IGMPv2 60 Membership Report group 239.255.255.250