• このエントリーをはてなブックマークに追加

wiresharkのテキストコピー

  • このエントリーをはてなブックマークに追加

zaco muraです。

ネットワークエンジニアの方なら一度は使ったことがあるであろうwiresharkですが、表示されている情報をテキストにコピーしたいと思ったことありますよね?
今回はそのやり方をメモしておきます。

環境

OS : windows7 32bit
Ver : Wireshark 1.12.3 (v1.12.3-0gbb3e9a0 from master-1.12)

できること

wiresharkでは、デフォルトで3段の情報が表示されるかと思いますが、今回は

・2段目のパケット全体の情報
・3段目のデータ部のビット列(もしくは文字列)

の表示についてです。

1.パケット全体の情報をコピー

これは、一度テキストファイルに出力することでコピーできます。
やり方は以下の手順です。

①File -> Printの順にメニューをクリック
②「Wireshark: Print」というウィンドウが開くので、「Output to file」にチェックを入れる
③出力されるファイル名を選択する
④下のほうにある「Print」をクリック

すると、こんな感じでデータが見えるようになります。


No. Time Source Destination Protocol Length Info
1 2015-09-09 13:47:16.920303 127.0.0.1 127.0.0.1 TCP 74 55922→8999 [SYN] Seq=0 Win=65495 Len=0 MSS=65495 SACK_PERM=1 TSval=699069422 TSecr=0 WS=128

Frame 1: 74 bytes on wire (592 bits), 74 bytes captured (592 bits)
Ethernet II, Src: 00:00:00_00:00:00 (00:00:00:00:00:00), Dst: 00:00:00_00:00:00 (00:00:00:00:00:00)
Internet Protocol Version 4, Src: 127.0.0.1 (127.0.0.1), Dst: 127.0.0.1 (127.0.0.1)
Version: 4
Header Length: 20 bytes
Differentiated Services Field: 0x00 (DSCP 0x00: Default; ECN: 0x00: Not-ECT (Not ECN-Capable Transport))
Total Length: 60
Identification: 0x5740 (22336)
Flags: 0x02 (Don’t Fragment)
Fragment offset: 0
Time to live: 64
Protocol: TCP (6)
Header checksum: 0xe579 [validation disabled]
Source: 127.0.0.1 (127.0.0.1)
Destination: 127.0.0.1 (127.0.0.1)
[Source GeoIP: Unknown]
[Destination GeoIP: Unknown]
Transmission Control Protocol, Src Port: 55922 (55922), Dst Port: 8999 (8999), Seq: 0, Len: 0
Source Port: 55922 (55922)
Destination Port: 8999 (8999)
[Stream index: 0]
[TCP Segment Len: 0]
Sequence number: 0 (relative sequence number)
Acknowledgment number: 0
Header Length: 40 bytes
…. 0000 0000 0010 = Flags: 0x002 (SYN)
Window size value: 65495
[Calculated window size: 65495]
Checksum: 0x6203 [validation disabled]
Urgent pointer: 0
Options: (20 bytes), Maximum segment size, SACK permitted, Timestamps, No-Operation (NOP), Window scale
Maximum segment size: 65495 bytes
TCP SACK Permitted Option: True
Timestamps: TSval 699069422, TSecr 0
Kind: Time Stamp Option (8)
Length: 10
Timestamp value: 699069422
Timestamp echo reply: 0
No-Operation (NOP)
Window scale: 7 (multiply by 128)

2.データ部のコピー

これはwiresharkの機能で直接コピーできます。以下の手順です。

①2段目のパケット全体の情報のところから、コピーしたい部分(Ethernet / InternetProcotolなど)を右クリックする
②メニューが表示されるので、真ん中あたりにある「Copy」を選択する
③さらにメニューが表示されるので、一番下の「Bytes」を選択する
④必要な方法を選択する。TCPのペイロードを見たい場合などは、「Hex Stream」を選択する。

すると、データ部がコピーされます。HTTP等の場合はURLやPOSTデータも見れます。

まとめ

wiresharkはたまに使うので、自分メモでした。

スポンサーリンク
Sponsords Link
  • このエントリーをはてなブックマークに追加

ZacoDesign

スポンサーリンク
Sponsords Link