パケットキャプチャ術で秘密もちょっぴりこぼれた?:セキュリティ・ダークナイト(4)(2/5 ページ)
Wiresharkのコマンドライン版「tshark」で知る、平文通信の危険性。膨大なログから狙った1行を検索するテクニック、身をもって体験せよ!(編集部)
出力関連のオプション
では、まず出力関連のオプションを見てみよう。
| オプション | 説明 |
|---|---|
| -w <FILE> | キャプチャしたパケットの記録を保存するファイル名を指定(画面出力なし) |
| -S | [-w]指定時でも画面出力ありにする |
| -V | パケットツリー表示を追加 |
| -x | HEX(16進)、ASCIIダンプ表示を追加 |
-wで、キャプチャしたパケットを保存することができる。
*** 一部省略されたコンテンツがあります。PC版でご覧ください。 ***
と実行すると、「5番のNICでキャプチャしたパケットをoutputという名前のファイル」に書き出せる。
実行してみれば分かるが、上記のように「-w」のみだとパケット数がカウントされるだけで、画面にパケットの情報が出力されない。
保存しながら、画面にも表示させたい場合は、
*** 一部省略されたコンテンツがあります。PC版でご覧ください。 ***
のように「-S」を追加することで可能である。
また、「-V」を付加することでパケットツリーを表示し、詳細な情報を表示することができ、「-x」を付加することで16進数(HEX)とASCIIダンプ表示を追加することが可能である。
キャプチャ停止の条件を指定する
次は、キャプチャを止めるタイミングを指定しよう。
| オプション | 説明 |
|---|---|
| -a <cond> | |
| duration:N | 指定した秒数経過で停止 |
| filesize:N | 指定したファイルサイズ(Kbytes)に達したら停止 |
| files:N | 指定した保存ファイル数に達したら停止 |
| -c <count> | 指定したパケット数をキャプチャすると停止 |
「-a」と、後述する「-b」を使うと、細やかなキャプチャの停止条件を指定できる。「-a」の場合は、値にどのような状態に対していくつといった指定の方法を行う。例えば、1分間(60秒)のキャプチャを行って停止したい場合は以下のように指定する。
*** 一部省略されたコンテンツがあります。PC版でご覧ください。 ***
また、保存ファイル名「output_file」が1MB(1000KBとした場合)のキャプチャファイルサイズに達したらキャプチャを停止するには 、
*** 一部省略されたコンテンツがあります。PC版でご覧ください。 ***
とすればよい。
「-c」については非常に単純明快である。指定した値と同じパケット数をキャプチャした時点で停止する。キャプチャが問題なく行われているかの確認で、少ないパケットカウントを指定するといった使い方でもいいだろう。
筆者はペネトレーションテストでポートスキャンを行う際に、現在スキャンしているポートは何番かを確認するためにこのオプションをよく使用している。
【例】
筆者がペネトレーションテスト中によく利用するコマンドと確認方法
*** 一部省略されたコンテンツがあります。PC版でご覧ください。 ***
「-r」でスキャンするポート番号を昇順にし、以下のようなオプションを指定することで現在スキャンを行っているポートを確認する。
*** 一部省略されたコンテンツがあります。PC版でご覧ください。 ***
これにより進ちょく情報を把握し、スキャンに要するおおよその時間を計る(適宜、フィルタオプションを追加することがある。フィルタに関しては後述する)
Copyright © ITmedia, Inc. All Rights Reserved.