Wiresharkの設定メモ
Wiresharkをインストールしたあとなどのメモ
一般ユーザーでもキャプチャできるようにする
wiresharkグループにユーザーを追加し, dumpcapの権限を変更した後, ケイパビリティで権限を与える.
$ sudo usermod -a -G wireshark <USER> $ sudo chgrp wireshark /usr/bin/dumpcap $ sudo chmod 4750 /usr/bin/dumpcap $ sudo setcap cap_net_raw,cap_net_admin=eip /usr/bin/dumpcap $ sudo getcap /usr/bin/dumpcap /usr/bin/dumpcap = cap_net_admin,cap_net_raw+eip
再起動すると設定が反映され, 一般ユーザーでもキャプチャできるようになる.
USBのパケットをキャプチャする
$ sudo modprobe usbmon
表示時刻の変更
どの時間に何が起こったかをわかりやすくするために View - Time Display Format - Date and Time of Day
に変更.
カラムの変更
Preference - User Interface - Columns
から追加.
Properties
から Field type
で Custom
を選択することでフィルタが使える.
http.hostとssl.handshake.extensions_server_name
を追加し, どのドメインと通信しているのをわかりやすくする.
よく使うフィルタを保存する
[Shift]+[Ctrl]+[P]から設定画面を開き, Filter Expressions
からフィルタを追加する.
追加すると, キャプチャ画面のフィルターペインからワンクリックでそのフィルタを適用できる.
また, 保存したいフィルタがわからない場合はPacketDetailsペインでフィルタしたい項目をクリックするとフィルタが左下に表示されるので参考になる.
それと合わせて DisplayFilters - The Wireshark Wiki を見ておくといい.
このあたりは, 解析したいパケットに合わせて適用するが, 以下は自分がよく使うフィルタをメモとして残しておく.
特定のバイト列が含まれるパケットのみを表示
例えば 0x464c4147(FLAG)
が含まれるパケットを検索したいとき
frame contains 46:4c:41:47
特定の文字列が含まれるパケットのみを表示
マルウェアなどexeやcmdといった文字列を含む通信を行うのでそういったときに...
例えば"exe"という文字列を含むパケットを検索したいとき
tcp contains "exe"
特定のHTTPリクエストのパケットを表示
http.request.method == GET
http.request.method == POST