「Wireshark」の版間の差分
Kusanaginoturugi (トーク | 投稿記録) (→インストール: 英語版より転載および翻訳) |
Kusanaginoturugi (トーク | 投稿記録) (→通常ユーザーでキャプチャ: 全面的に書きかえられているので、英語版に差し替え) |
||
| 11行目: | 11行目: | ||
Wireshark GUI の場合は {{Pkg|wireshark-qt}} パッケージを[[インストール]]し、tshark CLIの場合は {{Pkg|wireshark-cli}} を[[インストール]]します。 |
Wireshark GUI の場合は {{Pkg|wireshark-qt}} パッケージを[[インストール]]し、tshark CLIの場合は {{Pkg|wireshark-cli}} を[[インストール]]します。 |
||
| + | == Capturing privileges == |
||
| − | == 通常ユーザーでキャプチャ == |
||
| + | Do not run Wireshark as root, it is insecure. Wireshark has implemented privilege separation, which means that the Wireshark GUI (or the tshark CLI) can run as a normal user while the dumpcap capture utility runs as root[https://gitlab.com/wireshark/wireshark/-/wikis/CaptureSetup/CapturePrivileges#most-unixes]. |
||
| − | root で Wireshark を実行するのは危険です。 |
||
| + | The {{Pkg|wireshark-cli}} [[PKGBUILD#install|install script]] sets packet capturing [[capabilities]] on the {{ic|/usr/bin/dumpcap}} executable. |
||
| − | Arch Linux は [https://wiki.wireshark.org/CaptureSetup/CapturePrivileges#Other_Linux_based_systems_or_other_installation_methods Wireshark wiki の方法] にそって権限を分けています。{{Pkg|wireshark-cli}} のインストール時に、[[PKGBUILD#install|install スクリプト]]によって {{ic|/usr/bin/dumpcap}} に[[ケイパビリティ]]が設定されます。 |
||
| + | {{ic|/usr/bin/dumpcap}} can only be executed by root and members of the {{ic|wireshark}} group, therefore to use Wireshark as a normal user you have to add your user to the {{ic|wireshark}} [[user group]] (see [[Users and groups#Group management]]). |
||
| − | {{hc|$ getcap /usr/bin/dumpcap|2= |
||
| − | /usr/bin/dumpcap = cap_net_admin,cap_net_raw+eip |
||
| − | }} |
||
| − | |||
| − | {{ic|/usr/bin/dumpcap}} だけがパケットをキャプチャできるプロセスになります。{{ic|/usr/bin/dumpcap}} は root と {{ic|wireshark}} グループのメンバーだけが実行することが可能です。 |
||
| − | |||
| − | 通常ユーザーでキャプチャする方法は2つあります: |
||
| − | === wireshark グループにユーザーを追加=== |
||
| − | wireshark を通常ユーザーで使うために、ユーザーを wireshark グループに追加します: |
||
| − | |||
| − | {{bc|# gpasswd -a ''username'' wireshark}} |
||
| − | |||
| − | wireshark を起動する前に次のコマンドを実行することで、ログインしなおすことなくセッションに新しいグループを適用することができます: |
||
| − | {{bc|$ newgrp wireshark}} |
||
| − | |||
| − | === sudo を使う === |
||
| − | [[sudo]] を使うことで一時的にグループを {{ic|wireshark}} に変更できます。以下の設定をすることで、wheel グループのユーザーが GID が wireshark に設定されたプログラムを実行できるようになります: |
||
| − | |||
| − | {{bc|1=%wheel ALL=(:wireshark) /usr/bin/wireshark, /usr/bin/tshark}} |
||
| − | |||
| − | wireshark は次のコマンドで実行します: |
||
| − | {{bc|$ sudo -g wireshark wireshark}} |
||
==キャプチャのテクニック== |
==キャプチャのテクニック== |
||
2021年1月31日 (日) 14:59時点における版
Wireshark はフリーでオープンソースのパケットアナライザです。ネットワークのトラブルシューティングや解析、ソフトウェアと通信プロトコルの開発、または教育などに使われています。
目次
インストール
Wireshark GUI の場合は wireshark-qt パッケージをインストールし、tshark CLIの場合は wireshark-cli をインストールします。
Capturing privileges
Do not run Wireshark as root, it is insecure. Wireshark has implemented privilege separation, which means that the Wireshark GUI (or the tshark CLI) can run as a normal user while the dumpcap capture utility runs as root[1].
The wireshark-cli install script sets packet capturing capabilities on the /usr/bin/dumpcap executable.
/usr/bin/dumpcap can only be executed by root and members of the wireshark group, therefore to use Wireshark as a normal user you have to add your user to the wireshark user group (see Users and groups#Group management).
キャプチャのテクニック
フィルターを適用することで Wireshark で見たいパケットだけをキャプチャすることが可能です。
TCP パケットを抽出
TCP パケットを全て閲覧したい場合、"Filter" バーに tcp と入力してください。もしくは CLI 版の場合:
$ tshark -f "tcp"
UDP パケットを抽出
UDP パケットを全て閲覧したい場合、"Filter" バーに udp と入力してください。もしくは CLI 版の場合:
$ tshark -f "udp"
特定の IP アドレスのパケットを抽出
- 特定のアドレスに送信されるトラフィックを全て閲覧したい場合、
ip.dst == 1.2.3.4と入力してください。1.2.3.4はトラフィックの送信先の IP アドレスに置き換えて下さい。
- 特定のアドレスから送られたトラフィックを全て閲覧したい場合、
ip.src == 1.2.3.4と入力してください。1.2.3.4はトラフィックの送信元の IP アドレスに置き換えて下さい。
- 特定のアドレスから送受信されるトラフィックを全て閲覧したい場合、
ip.addr == 1.2.3.4と入力してください。1.2.3.4は適当な IP アドレスに置き換えて下さい。