More than 3 years have passed since last update.
はじめに...
調査した内容を時系列にまとめた資料なので、その点ご了承ください。
目次
- 実行環境
- 実現したいこと
- 概要
- ログ取得〜pcapからjsonへの変換
- スクリプトの実行
- まとめ
- 参考資料
1. 実行環境
| 項目 | 情報 |
|---|---|
| OS | macOS 11.6 |
| HW | MacBook Air (11-inch, Mid 2013) |
| powershell | PowerShell 7.1.3 |
| Wireshark | 3.4.9 |
2. 実現したいこと
- wiresharkで取得したパケットを加工し、csvで出力したい
3. 概要
- wiresharkでパケットキャプチャを行う
- wiresharkで取得したパケットをtsharkでjson形式に変換する
- json形式のファイルをpowershellで加工/csv出力する
4. ログ取得〜pcapからjsonへの変換
-
wiresharkを起動/パケットキャプチャを開始、端末を操作して、パケットを取得する
👁 packet-002.png -
保存したパケットをtsharkでjson形式に変換する
5. スクリプトの実行
- (4)にてjson形式に変換したパケットをpwshにて加工する
- 今回は、特定の通信先に関わるTCPパケットのみを対象とする
- IPアドレスの情報は、逆引きを行い、可能であればホスト名に変換する
6. 結果
- 以下の通りパケット必要な項目のみCSVの項目として出力することができた
6. まとめ
- pacapからjson -> csvに加工しつつ変換するスクリプトを準備することができた
- jsonファイルの階層が多いのほか深かったので、調べるのに苦労した
- 現状は、TCPパケットのみの対応のため、今後必要に応じて、拡充したい
7. 参考文献
-
ParseExactにて利用するカスタム日時形式について
https://docs.microsoft.com/ja-jp/dotnet/standard/base-types/custom-date-and-time-format-strings -
Wireshark Seq, Ackについて
https://www.engineer-memo.net/20151122-4034 -
TCPについて
https://eh-career.com/engineerhub/entry/2020/02/13/103000
https://www.infraexpert.com/study/tea11.htm -
tsharkのオプション
http://n.pentest.ninja/?p=202
Register as a new user and use Qiita more conveniently
- You get articles that match your needs
- You can efficiently read back useful information
- You can use dark theme
