tshark でパケットキャプチャを取得する


Wireshark 以外にパケットキャプチャを取得する方法として「tshark」 を紹介します。
以下の記事では、パケットキャプチャソフトの Xplico を説明しています。こちらもご覧頂ければと思います。

tshark とは?

コマンドラインベースでパケットキャプチャを取得できる、いわば Wireshark の CLI 版です。
Wireshark は 非常に解析能力に秀でていますが、GUI のため動作が重く長期間パケットキャプチャを取得するには向いていません
そこで、動作の軽い CLI ベースの tsharkが使われることがあります。
今回は tshark を使って実際にパケットキャプチャの取得を行いたいと思います。

tshark のインストール

tshark は Wireshark に付随しているため、Wireshark をインストールした環境では別途インストールする必要はありません

「tshark -v」と実行するとバージョンが確認できます。
※ root ユーザで実行すると以下のような警告メッセージが出力されます。

root@kali:~# tshark -v
Running as user "root" and group "root". This could be dangerous.
TShark (Wireshark) 3.2.1 (Git v3.2.1 packaged as 3.2.1-1)


tshark の実行


tshark -i eth0 -c 2


実際にコマンドを実行し、Kali ( から Metasploitable ( に Ping 通信を発生させます。

root@kali:~# tshark -i eth0 -c 2
Running as user "root" and group "root". This could be dangerous.
Capturing on 'eth0'
    1 0.000000000 →     ICMP 98 Echo (ping) request  id=0x42ba, seq=1/256, ttl=64
    2 0.000604228 →     ICMP 98 Echo (ping) reply    id=0x42ba, seq=1/256, ttl=64 (request in 1)
2 packets captured

実行結果としては、ICMP Echo リクエストリプライ 2つのパケットが出力されました。


root@kali:~# tshark -i eth0 -c 2 -w test.cap
Running as user "root" and group "root". This could be dangerous.
Capturing on 'eth0'

また、ls コマンドでファイルが出力されていることが確認できました。

root@kali:~# ls ping.cap 


以下コマンドのように「-f」オプションで指定することで、ping 通信のみパケットキャプチャを取得することが可能です。

tshark -f "ping" -i eth0 -c 2

例えば SSH 通信を発生させてもパケットキャプチャの取得を行わないため、以下の表示のまま変わりはありません。

root@kali:~# tshark -f "icmp" -i eth0 -c 2
Running as user "root" and group "root". This could be dangerous.
Capturing on 'eth0'

また、以下コマンドのように「-Y」オプションを指定することで、取得したパケットキャプチャの内 Ping 通信のみを表示させます。

tshark -Y "udp port 53" -i eth0 -c 2


root@kali:~# tshark -Y "icmp" -i eth0 -c 2
Running as user "root" and group "root". This could be dangerous.
Capturing on 'eth0'
0 packets captured

他にもまだまだオプションはありますが、全ては紹介しきれないため、その他オプションについては「man tshark」「tshark -h」コマンドでご確認ください。

以下、「tshark -h」コマンド実行結果を抜粋します。

Usage: tshark [options] ...

Capture interface:
  -i <interface>, --interface <interface>
                           name or idx of interface (def: first non-loopback)
  -f <capture filter>      packet filter in libpcap filter syntax
  -s <snaplen>, --snapshot-length <snaplen>
                           packet snapshot length (def: appropriate maximum)
  -p, --no-promiscuous-mode
                           don't capture in promiscuous mode
  -I, --monitor-mode       capture in monitor mode, if available
  -B <buffer size>, --buffer-size <buffer size>
                           size of kernel buffer (def: 2MB)
  -y <link type>, --linktype <link type>
                           link layer type (def: first appropriate)
  --time-stamp-type <type> timestamp method for interface
  -D, --list-interfaces    print list of interfaces and exit
  -L, --list-data-link-types
                           print list of link-layer types of iface and exit
  --list-time-stamp-types  print list of timestamp types for iface and exit

Capture stop conditions:
  -c <packet count>        stop after n packets (def: infinite)
  -a <autostop cond.> ..., --autostop <autostop cond.> ...
                           duration:NUM - stop after NUM seconds
                           filesize:NUM - stop this file after NUM KB
                              files:NUM - stop after NUM files
                            packets:NUM - stop after NUM packets
Capture output:
  -b <ringbuffer opt.> ..., --ring-buffer <ringbuffer opt.>
                           duration:NUM - switch to next file after NUM secs
                           filesize:NUM - switch to next file after NUM KB
                              files:NUM - ringbuffer: replace after NUM files
                            packets:NUM - switch to next file after NUM packets
                           interval:NUM - switch to next file when the time is
                                          an exact multiple of NUM secs
Input file:
  -r <infile>, --read-file <infile>
                           set the filename to read from (or '-' for stdin)

  -2                       perform a two-pass analysis
  -M <packet count>        perform session auto reset
  -R <read filter>, --read-filter <read filter>
                           packet Read filter in Wireshark display filter syntax
                           (requires -2)
  -Y <display filter>, --display-filter <display filter>
                           packet displaY filter in Wireshark display filter
  -n                       disable all name resolutions (def: all enabled)
  -N <name resolve flags>  enable specific name resolution(s): "mnNtdv"
  -d <layer_type>==<selector>,<decode_as_protocol> ...
                           "Decode As", see the man page for details
                           Example: tcp.port==8888,http
  -H <hosts file>          read a list of entries from a hosts file, which will
                           then be written to a capture file. (Implies -W n)
  --enable-protocol <proto_name>
                           enable dissection of proto_name
  --disable-protocol <proto_name>
                           disable dissection of proto_name
  --enable-heuristic <short_name>
                           enable dissection of heuristic protocol
  --disable-heuristic <short_name>
                           disable dissection of heuristic protocol
  -w <outfile|->           write packets to a pcapng-format file named "outfile"
                           (or '-' for stdout)
  --capture-comment <comment>
                           set the capture file comment, if supported
  -C <config profile>      start with specified configuration profile
  -F <output file type>    set the output file type, default is pcapng
                           an empty "-F" option will list the file types
  -V                       add output of packet tree        (Packet Details)
  -O <protocols>           Only show packet details of these protocols, comma
  -P, --print              print packet summary even when writing to a file
  -S <separator>           the line separator to print between packets
  -x                       add output of hex and ASCII dump (Packet Bytes)
  -T pdml|ps|psml|json|jsonraw|ek|tabs|text|fields|?
                           format of text output (def: text)
  -j <protocolfilter>      protocols layers filter if -T ek|pdml|json selected
                           (e.g. "ip ip.flags text", filter does not expand child
                           nodes, unless child is specified also in the filter)
  -J <protocolfilter>      top level protocol filter if -T ek|pdml|json selected
                           (e.g. "http tcp", filter which expands all child nodes)
  -e <field>               field to print if -Tfields selected (e.g. tcp.port,
                           this option can be repeated to print multiple fields
  -E<fieldsoption>=<value> set options for output when -Tfields selected:
     bom=y|n               print a UTF-8 BOM
     header=y|n            switch headers on and off
     separator=/t|/s|<char> select tab, space, printable character as separator
     occurrence=f|l|a      print first, last or all occurrences of each field
     aggregator=,|/s|<char> select comma, space, printable character as
     quote=d|s|n           select double, single, no quotes for values
  -t a|ad|adoy|d|dd|e|r|u|ud|udoy
                           output format of time stamps (def: r: rel. to first)
  -u s|hms                 output format of seconds (def: s: seconds)
  -l                       flush standard output after each packet
  -q                       be more quiet on stdout (e.g. when using statistics)
  -Q                       only log true errors to stderr (quieter than -q)
  -g                       enable group read access on the output file(s)
  -W n                     Save extra information in the file, if supported.
                           n = write network address resolution information
  -X <key>:<value>         eXtension options, see the man page for details
  -U tap_name              PDUs export mode, see the man page for details
  -z <statistics>          various statistics, see the man page for details
  --export-objects <protocol>,<destdir>
                           save exported objects for a protocol to a directory
                           named "destdir"
  --color                  color output text similarly to the Wireshark GUI,
                           requires a terminal with 24-bit color support
                           Also supplies color attributes to pdml and psml formats
                           (Note that attributes are nonstandard)
  --no-duplicate-keys      If -T json is specified, merge duplicate keys in an object
                           into a single key with as value a json array containing all
  --elastic-mapping-filter <protocols> If -G elastic-mapping is specified, put only the
                           specified protocols within the mapping file



この記事は「ハッキング・ラボのつくりかた 第7章 」をベースに作成しています。購入リンクは以下です。