引き続き、wireshark 関連です
リアルタイムで通信データを監視するとき、不要な情報を
削ぎ、必要な情報のみをみるようにキャプチャーフィルターを設定します
設定方法は、最初に wiresharkを立ち上げたときに
Capture Option をクリックする方法
または、メインツールバーの左から2番めにある
Show the CaotyreIotuibs ボタンをクリックする方法
または、Capture > Options を実行するか
ショートカットキーで
Ctrl + k で実行します
起動したら設定するには
Capture Filter をクリックして設定します
ただし、
ディスプレイフィルターとは違って
Filter string の右に
Exception ボタンがないので、そこまで細かく設定できません
ちなみに、今回勉強に使った書籍
Hacker Japan (ハッカー ジャパン) 2012年 05月号
についていたサンプルデータは
この機能を使って
eth,addr == 08:00:27:46:2c:20
というフィルターをつけて
LANすべてのパケットから
ubuntu 11.10 の仮想マシンのパケットだけを集めたものだそうです
これを活用すれば
Android とか iPhone のマルウェアが入っても通信内容を解析して
発見できるようになるかもしれません
ちなみに、hacker japan のwebサイトに
今回の特集のデータがダウンロードできるので
こちらも合わせてみるとより理解しやすくなります
