Wiresharkのバージョンは3.2.1を使用しています。
バージョンによってはUIが変わっているかもしれません。
#起動画面
####ファイルを開く
上のファイルアイコンをクリック、もしくはファイル ⇒ Openを選択。
ファイル ⇒ Open Recentで一度開いたことのあるファイルを選択できる。
####キャプチャを開始する
wiresharkのアイコンをクリック、もしくはキャプチャ ⇒ 開始を選択。
####キャプチャを止める
wiresharkのアイコンの横のアイコンをクリック、もしくはキャプチャ ⇒ 停止を選択。
####キャプチャのオプション
左から4番目のアイコンをクリック、もしくはキャプチャ ⇒ オプションを選択。
####キャプチャを取得しながらファイルに保存する
左から4番目のアイコンをクリック、もしくはキャプチャ ⇒ オプションを選択し、出力を選択。
分割して保存する場合、…後に自動的に新ファイルを作成 を選択。
リングバッファは保存ファイルが指定したファイル数に到達したら古いファイルから上書き保存する機能。保存キャプチャサイズが大きすぎてHD容量を圧迫する場合に使用する。
#メイン画面
###ペインの種類
####パケットの一覧
キャプチャしたパケットの一覧が表示される。
####パケットの詳細
それぞれのパケットの詳細が表示される。
####パケットのバイト表記
パケットを16進数で表示している。
###時刻の表示形式の変更
表示 ⇒ 時刻表示形式で変更できる。
###時間の調整
編集 ⇒ 時間調整で調整できる。
#パケット検索
###BPF構文
例1:80番ポートで送受信されるTCPトラフィック
tcp port 80
例2:TCPのSYN-ACKパケット
tcp[13] == 18
例3:80番ポート以外で通信されるトラフィック
!port 80
例4:HTTPリクエストのメソッドがGET
http.request.method == "GET"
例5:送信元のIPアドレスが192.168.1.10
src host 192.168.1.10
詳しい内容はこちらを参考にすると良いです。
###フィルタの保存
1.キャプチャ ⇒ キャプチャフィルタを選択。
2.左下の「+」ボタンをクリック。
3.Filter name、Filter Expressionに名前と式を入力。
4.OKをクリックする。
#エンドポイントの一覧
統計 ⇒ Endpointsを選択
#対話の一覧
統計 ⇒ Conversationsを選択
#プロトコルの統計
統計 ⇒ プロトコル階層を選択
#ストリームの表示
調べたいパケットを選択 ⇒ 右クリック ⇒ 追跡を選択
#パケットキャプチャの練習になりそうなもの
The Wireshark Wiki
Malware-Traffic-Analysis