yuu_nkjm blog

トップ «前の日記(2008-08-05(Tue)) 最新次の日記(2008-09-06(Sat))» 月表示　　　編集設定

2008-08-19(Tue) [長年日記]

[Linux][Network][Troubleshooting] TCP/UDPパケットをtshark(Wireshark)でキャプチャ

Bind9のロギング機能では，Severityをどう調整しても，「"iken.ac.jp"という問い合わせに対して"*.*.*."と答えました」という様な項目が吐けない．

仕方ないので，パケットキャプチャでもやってみっかってことで，tcpdumpを使ってみた．ざっと見た感じ，パケットのヘッダは見られるけど中身が見られない様だったので，パス．つづいて，Etherrealの後継であるwireshark(テキスト版だとtshark)を使ってみる事にした．

tcpdumpで特定のポートへのパケットを監視する - yuu_nkjm blog(2012-12-04)も使えそう．

まずはインストール．Fedora 7(?)のyumにwiresharkがあったので，

yum install wireshark

として終了．

つづいて，キャプチャ．

tshark port 53 and not host 192.168.0.1 -q -b filesize:500 -w dns.log

上記コマンドは，監視するのはポートが53番で送信元ホストが192.168.0.1以外．quietにしておく．filesizeが500KBごとにローテートしながら，dns.logと連番と日付からなるファイルに書き込む．ということ．

んで，キャプチャしたログを見る．

tshark -t ad -r dns.log

上記コマンドは，パケットのタイムスタンプを日時で表示．dns.logを読み込む．と言うこと．

1 2008-08-19 14:31:24.89 *.*.*.* -> *.*.*.* DNS Standard query A hoge.com
2 2008-08-19 14:31:24.89 *.*.*.* -> *.*.*.* DNS Standard query response A "*.*.*.1"

もうちょっと詳細まで見たい場合には，xオプションを使用する．

tshark -x -r dns.log

ちょっと詰まったのは，書き込み時に"-t ad"を使おうとしたこと．パケットは生パケットのまま保存されて，出力する時に-tで指定したフォーマットを適用するイメージなわけね．

wiresharkのマニュアルはこちら．

[ツッコミを入れる]

本日のリンク元

アンテナ

http://reader.livedoor.com/reader/ ×2

その他のリンク元

検索

tshark ログ日付入り ×27 / wireshark マニュアル ×20 / tshark マニュアル ×9 / tshark port ×8 / wireshark ログローテート ×7 / udp キャプチャ ×6 / wireshark fedora ×5 / tshark オプション ×5 / wireshark 日本語マニュアル ×5 / tshark "-x" ×4 / Wireshark マニュアル ×4 / Wireshark ﾏﾆｭｱﾙ ×4 / fedora wireshark ×4 / wireshark テキスト保存 ×4 / パケットキャプチャー EtherReal ×3 / パケットキャプチャ UDP ×3 / wireshark linux yum ×3 / wireshark ×3 / wireshark タイムスタンプ ×3 / TCP パケットキャプチャ ×3 / ワイヤーシャークマニュアル ×3 / wireshark テキスト ×3 / tshark Port ×3 / wireshark ログフォーマット ×2 / tshark dns ×2 / syslog パケット日時キャプチャ ×2 / WireShark マニュアル ×2 / tcp window update wireshark ×2 / UDP ワイヤーシャーク ×2 / wireshark tshark ×2 / wireshark udp linux ×2 / yum インストール wireshark ×2 / standard query wireshark ×2 / Wireshark ローテート ×2 / ｔSHARK テキスト版 ×2 / wireshark ファイルローテート ×2 / tshark udp キャプチャ ×2 / fedora wireshark HTTP レスポンス表示 ×2 / TCP パケット ×2 / UDP パケットモニタ ×2 / fedora wireshark コマンド ×2 / tcp タイムスタンプ wireshark ×2 / tshark コマンドライン ×2 / UDP キャプチャ ×2 / tshark タイムスタンプ ×2 / wire shark イメージとして保存 ×2 / wireshark Standard query response ×2 / WireShark 全パケット ×2 / wireshark イメージ ×2 / wireshark アタック ×2 / ワイヤーシャークテキスト版 ×2 / wireshark fedora インストール ×2 / tshark ×2 / wireshark テキスト出力 tshark ×2 / tshark 日時 ×2 / dns 53 standard query windows 2008 ×2 / tshark テキスト保存 ×2 / wireshark portコマンドキャプチャー ×2 / tshark インストール fedora ×2 / wireshark 終了 ×2 / ローテート Wireshark ×2 / wirshark マニュアル日本語 ×2 / wireshark ログタイムスタンプ ×2 / ワイヤーシャーク初期設定 ×2 / wireshark UDP キャプチャー ×2 / wireshark standard query ×2 / wireshark ログファイルローテート ×2 / Fedora Wireshark ×2 / wireshark ログ保存 txt ×2 / T Wire shark ×2 / wireshark ログ保存 ×2 / wireshark テキスト出力 ×2 / tshark ローテート ×2 / wireshark ログローテート ×2 / linux tshark UDP ×2 / tshark ログ内容 ×2 / wireshark standerd query A android ×2 / tshark オプション X ×1 / tshark DNSのみ ×1 / linux yum wireshark ×1 / Winshark udp パケットキャプチャ ×1 / wireshark Standard query MX ×1 / wireshark ログ編集 ×1 / linux udp パケットキャプチャ ×1 / Wireshark fedora コマンド ×1 / Wireshark Standard query ANY ×1 / wireshark マニュアル日本語 ×1 / UDPパケット ×1 / wireshark コマンドラインローテート ×1 / イーサリアル拡張子キャプチャ ×1 / standard query A Wire Shark LLMNR ×1 / ワイヤーシャークログ ×1 / wireshark linux 動かない ×1 / tcp パケット取得正当性 ×1 / "Standard query response A" Ethereal ×1 / wireshark UDPの監視 ×1 / tshark -f host smb ×1 / Wireshark UDP ×1 / UDP windows 7 ×1 / Skype Logging Packet ×1

トップ «前の日記(2008-08-05(Tue)) 最新次の日記(2008-09-06(Sat))» 月表示編集設定

2006|01|06|12|

2007|06|09|

2008|01|03|04|06|07|08|09|10|12|

2009|01|02|05|06|07|08|10|11|12|

2010|03|04|05|06|07|08|09|10|11|

2011|01|02|03|04|05|06|07|08|09|11|12|

2012|01|02|04|06|07|08|10|11|12|

2013|01|02|03|07|08|10|11|12|

2014|01|02|04|05|06|07|08|09|10|11|

2015|01|02|07|11|12|

2016|01|03|05|07|08|09|