30 Jan 2015, 04:31

Coloring Rules で Filter に色付け! カラフルな DarkWireShark でログ解析を加速する方法

はじめに

前回の続きです.

WireShark の Coloring Rules をいじることで, 表示されるパケットに自由に色をつけることができたので紹介.

Coloring Rules をいじる

Wireshark を開き,

  • ツールバーから view > Coloring Rules を選択.
  • New を選択
  • Name: で名前をつける. String で絞りこむ条件を入れる.

この設定をすることで, 起動時から Filter に色をつけておくことができる. たとえば, 以下の記事に書いたフィルタをあらかじめ色付けしておけば, とてもログ解析がやりやすくなる.

以下, 色づけの例.

Name Fildter ForeGround BackGround
SMB2 smb2 #F8F8F2 #272822
SMB2 ERROR smb2.nt_status>0 #F8F8F2 #FF5800
SMB2 CREATE smb2.cmd==5 #F8F8F2 #225D71

これだけでも, だいぶカラフルになる.

SnapCrab_NoName_2015-1-30_13-19-44_No-00.png

29 Jan 2015, 12:53

WireShark で SMB/CIFS のパケット解析をするときの便利 Tips

はじめに

仕事で SMB プロトコルのパケット解析ばかりするようになってきた.

少し Tips がたまってきたので, 忘れないうちにメモしようと思う. SMB2 限定.

かなりニッチな内容だけれども, いつかどこかで誰かの役に立つことを願う.

検索を利用する

Ctrl + F で検索窓か開くので, キーワードから検索.

Filter を利用する

素早く情報を検索するには, フィルタが有効.

  • ツールバーからフィルタのパターンを入力
  • よく利用するものは, save を押すと再利用可能
  • フィルタの追加, 削除は Edit > Preferences > Filter Expressions から.

以下, よく利用するものを列挙

smb プロトコルをフィルタする

<div class="outline-text-3" id="text-3-1">
  <p>
    これは基本.
  </p>

  <p>
    [sourcecode language=&#8221;text&#8221; title=&#8221;&#8221; ]<br /> smb or smb2<br /> [/sourcecode]
  </p>
</div>

IP アドレスでフィルタリング

<div class="outline-text-3" id="text-3-2">
  <p>
    サーバのログをみるとき, たくさんのクライアントからのアクセスがある ので, ログが見づらい. 以下で, 送信元または送信先でフィルタリング.
  </p>

  <p>
    [sourcecode language=&#8221;text&#8221; title=&#8221;&#8221; ]<br /> ip.addr == 10.0.0.1<br /> [/sourcecode]
  </p>

  <p>
    送信元と先を指定する.
  </p>

  <p>
    [sourcecode language=&#8221;text&#8221; title=&#8221;&#8221; ]<br /> ip.addr == 10.0.0.1 and ip.addr == 10.0.0.0<br /> [/sourcecode]
  </p>
</div>

NT Status が エラーのものをフィルタリングする

<div class="outline-text-3" id="text-3-3">
  <p>
    エラーを素早くチェックするために.
  </p>

  <p>
    [sourcecode language=&#8221;text&#8221; title=&#8221;&#8221; ]<br /> smb2.nt_status > 0<br /> [/sourcecode]
  </p>
</div>

Command Code でフィルタリング

<div class="outline-text-3" id="text-3-4">
  <p>
    コマンドコードで絞込み.
  </p>

  <p>
    [sourcecode language=&#8221;text&#8221; title=&#8221;&#8221; ]<br /> # create でフィルタ<br /> smb2.cmd==5<br /> [/sourcecode]
  </p>

  <p>
    コマンドコード一覧
  </p>

  <ul class="org-ul">
    <li>
      <a href="https://msdn.microsoft.com/en-us/library/cc246528.aspx">2.2.1.1 SMB2 Packet Header &#8211; ASYNC</a>
    </li>
  </ul>
</div>

FileId でフィルタリング

<div class="outline-text-3" id="text-3-5">
  <p>
    create response コマンドにある fileId を追跡する.
  </p>

  <p>
    [sourcecode language=&#8221;text&#8221; title=&#8221;&#8221; ]<br /> smb2.fid==00004001-0000-0000-0000-000000000000<br /> [/sourcecode]
  </p>
</div>

tshark を利用する

コマンドラインの tshark を利用したほうが, 操作が早いことに気付く. しかし, Detail をしっかりみるためには GUI 版の WireShark がいい.

smb でフィルタリンクしたものを吐き出し. これでログが軽くなる.

[sourcecode language=”text” title=”” ]
tshark -r hoge.pcapng -Y ‘smb2’ -w foo.pcapng
[/sourcecode]

-Y でフィルタをかける. サブ画面でちょっとした grep をするのに便利.

[sourcecode language=”text” title=”” ]
tshark -r hoge.pcapng -Y ‘smb2.cmd==5’
[/sourcecode]

エラーがないかなどを素早くチェックする.

[sourcecode language=”text” title=”” ]
tshark -r hoge.pcapng -Y ‘smb2.nt_status > 0’
[/sourcecode]

23 Jan 2015, 01:38

もうダサいなんていわせない! 黒くてクールな DarkWireShark

はじめに

WireShark がダサいとおもっているならば, それも今日限りだ.

WireShark の UI をクールなブラックにする方法を紹介.

環境

  • Windows 8.1
  • WireShark 1.12

手順

WireShark は GTK2 を UI として利用している. なので, GTK2 のテーマを適用することができる.

テーマを以下からダウンロード

なかにテーマいろいろある.

適当なテーマを選んで, WireShark のインストールフォルダにそのまま コピペする. WireShark を再起動すると, 選択したテーマで起動される.

テーマをチェック

テーマは Youtube 動画がいくつかある. 動画で色をチェックしてから利用するのがいい.

BookMarks