こんにちは、yamaday0uです。
今回はTSharkというパケットキャプチャツールについてインストール方法や使い方を解説します。
※2022年から技術系の記事は個人ブログにも投稿しております。個人ブログの記事は適宜修正しておりますのでぜひこちらもご覧ください→yamaday0u Blog
- TSharkとは
- TSharkのインストール
- tsharkコマンドの例
TSharkとは
パケットキャプチャの支援ツールであるWiresharkのコマンドライン版ツールです。
Terminal wireSHARKの略でTSharkというらしいです。(こういう略称の元の名前を知るのが好きでよく調べています。)
tshark (Terminal wireSHARK) is the command line tool (CLI)
Tshark | About
TSharkのインストール
MacならHomebrewでのインストールが簡単なので、brewコマンドを使ってインストールする方法を紹介します。
他の方法でインストールしたい方は、tsharkのガイドページにいくつかのインストール方法が紹介されているのでそちらを参考にしてみてください。
brew install --cask wireshark
途中でPCのパスワード入力を求められる場合もあります。
無事にインストールが終わったらtsharkコマンドが使えるか確認します。
tshark -v
以下のようにバージョンが表示されれば成功です。
TShark (Wireshark) 4.0.5 (v4.0.5-0-ge556162d8da3).
ちなみにbrewコマンドでインストールするときに「–cask」オプションをつけたので、Wiresharkも同時にインストールされています。
tsharkコマンドの例
ぼくがよく利用するtsharkコマンドはこんな感じです。
| コマンド | 実行内容 |
|---|---|
| tshark -D | インタフェース一覧の表示 |
| tshark -i ポート番号 or ポート名 | ポートを指定してログ取得開始 |
| tshark -i 1 -w test.txt | ログをtest.txtファイルに書き出し |
| tshark -i 1 -w test.txt -P | test.txtファイルに書き出しながらターミナルにもログ出力 |
| tshark -i 1 -f “host 192.168.1.4” | IPアドレス192.168.1.4が含まれるログをフィルタして出力 |
| tshark -r ファイル | 指定したファイルを開く |
上記コマンドのうち、いくつかのコマンドについて具体的に説明します。
tshark -D
tshark -Dコマンドはパケットキャプチャするインタフェースのリストを表示します。
tshark -D
ぼくのMacで実行したところ以下の結果が出ました。
各インタフェースの説明は次のとおりです。
- en:イーサネット
- awdl:Apple Wireless Direct Link(ネットワーク「awdl」とは何でしょうか)
- llw:Low Latency WLAN
- utun:仮想インターフェース
tshark -r
tshark -r “ファイル”コマンドで指定したログファイルを読み込みます。
tsharkで出力したログファイルの拡張子はpcapng(packet capture next generation)で、普通のエディタでは開くことができません。