何が変わった!? wireshark 1.8
DESCRIPTION
第10回「ネットワークパケットを読む会(仮)」勉強会の発表資料です.Wireshark 1.8 の変更点について紹介してます. 追記メモ(2012/Jul/31st):Wireshark 1.8 で保存形式を pcapng から pcap にする方法 → メニューの Edit→Preferences→Capture で「Capture packets in pcap-ng format」のチェックボックスをオフにする.TRANSCRIPT
何が変わった!? Wireshark 1.8@k_morihisa
2012年7月30日 ネットワークパケットを読む会(仮) 第10回発表資料
1
1Monday, July 30, 2012
自己紹介• Twitter: @k_morihisa
• 社会人2年目
• 都内の会社で IDS/IPS に関する仕事
• プライベートでイベント会場のネットワーク構築など(LLPlanets 2011, LLDecade 2012 に参加)
2
2Monday, July 30, 2012
Wireshark 1.8.0 Release Notes
• 一次情報源
• http://www.wireshark.org/docs/relnotes/wireshark-1.8.0.html
3
3Monday, July 30, 2012
Wireshark 1.8 変更点• 大きな変更点(1.6 から)
• 複数の NIC で同時にキャプチャ可能
• デフォルトのファイル保存形式がpcapng に変更
• パケットにコメントが書ける
• 細かい変更点• tshark のコマンドオプション変更や
802.11(無線)の鍵管理,IPv6 の GeoIP 対応など4
4Monday, July 30, 2012
複数の NIC で同時にキャプチャ可能• デモ
5
5Monday, July 30, 2012
複数の NIC で同時にキャプチャ可能• 特定の NIC を選択することも,すべての NIC を選択することも可能
6
6Monday, July 30, 2012
キャプチャ時のフィルタリング• NIC 名をダブルクリックして,
Capture Filter に入力する.
• 注意!• NIC ごとに入力する必要有り
• 全ての NIC を対象とするフィルタの入力欄はありません
7
参考:Wireshark 1.8 でちょっと変更された事(Hebikuzure's Tech Memo)
http://hebikuzure.wordpress.com/category/windows-%E3%83%84%E3%83%BC%E3%83%AB/
7Monday, July 30, 2012
ファイルの保存形式が変更(pcapng)
• デモ
8
8Monday, July 30, 2012
ファイルの保存形式が変更(pcapng)
• pcapng とは?
• PCAP Next Generation の略
• libpcap を用いた次世代パケット保存形式
• 参考情報
• http://wiki.wireshark.org/Development/PcapNg
• http://www.winpcap.org/ntar/draft/PCAP-DumpFileFormat.html
9
9Monday, July 30, 2012
ファイルの保存形式が変更(pcapng)
• デフォルトの保存形式
• Wireshark 1.6 までは pcap
• Wireshark 1.8 からは pcapng
• 実は 1.2 の頃から読み込みできたらしい
• Wireshark and Pcap-ng (The official Wireshark blog)
• https://blog.wireshark.org/2012/03/wireshark-and-pcap-ng/
10
10Monday, July 30, 2012
pcapng の互換性• pcap と pcapng は全くの別物!
• 大抵のプログラムは pcap 形式にしか対応していない
• 例) tcpdump 対応済み
• バージョン tcpdump 4.1.0 & libpcap 1.1.0 以上
• 例) Network Miner 1.3 は未対応
• http://www.netresec.com/?page=NetworkMiner
11
11Monday, July 30, 2012
pcap - pcapng 変換• .pcap から .pcapng へ
• tshark -F pcapng -r file.pcap -w file.pcapng
• .pcapng から .pcap へ
• tcpdump -r file.pcapng -w file.pcap
• tcpdump のバージョンに注意!
12
12Monday, July 30, 2012
pcapng どうよ?
• 使うメリットがほとんどない
• Wireshark 1.8 ではコメント機能のみ
• その他の機能があったらゴメンナサイ
• デフォルトの保存形式を選択する機能はない...\(^o^)/
13
今後,長いお付き合いになりそう
13Monday, July 30, 2012
パケットにコメント• デモ
14
14Monday, July 30, 2012
パケットにコメント• 1パケットごとにコメントを書ける
• 複数行も書ける
• 日本語は未対応
• コメント表示欄で文字化けする…
15
15Monday, July 30, 2012
パケットにコメント• Severity level や Group などの項目がある
• 今後,さらに機能追加されるかも...
16
16Monday, July 30, 2012
17
以上!
17Monday, July 30, 2012