CentOSにパケットキャプチャWireSharkをインストールする。 - ServersMan@VPS（CentOS）でお気楽サーバー運営 (^^♪　　(忘れっぽいので個人メモ用)

サーバーを運営していると、実際の通信データのやり取りをキャプチャしたい事がありますが、パケットキャプチャソフトとして有名なWireShark（ワイヤシャーク）をServersMan@VPS（CentOS）にインストールしてみる。

http://www.wireshark.org

１．インストール

yum -y install wireshark

２．使い方

WireShark自体はモニターがないネットワーク上のサーバであるServersMan@VPS上では使えないので、かわりに、WireShark付属のCUIコマンド、tsharkで

(1) 使用できるインタフェースを確認する。

# tshark -D
1. venet0
2. any (Pseudo-device that captures on all interfaces)
3. lo

(2) 183.181.10.26宛てのhttp通信だけをキャプチャする。

tshark -i 1 -l host 183.181.10.26  and port http

実行結果はこんな感じ。

# tshark -i 1 -l host 183.181.10.26  and port http
Running as user "root" and group "root". This could be dangerous.
Capturing on venet0
  0.000000 182.55.178.3 -> 183.181.10.26 TCP 58276 > http [SYN] Seq=0 Win=65535 Len=0 MSS=1334 WS=1 TSV=651970830 TSER=0
  0.000046 183.181.10.26 -> 182.55.178.3 TCP http > 58276 [SYN, ACK] Seq=0 Ack=1 Win=5792 Len=0 MSS=1460 TSV=96255708 TSER=651970830 WS=7
  0.010557 182.55.178.3 -> 183.181.10.26 TCP 58276 > http [ACK] Seq=1 Ack=1 Win=66100 Len=0 TSV=651970841 TSER=96255708
  0.010903 182.55.178.3 -> 183.181.10.26 HTTP GET /pagerank/ HTTP/1.1 
  0.010942 183.181.10.26 -> 182.55.178.3 TCP http > 58276 [ACK] Seq=1 Ack=489 Win=6912 Len=0 TSV=96255719 TSER=651970841
  0.011534 183.181.10.26 -> 182.55.178.3 TCP [TCP segment of a reassembled PDU]
  0.011568 183.181.10.26 -> 182.55.178.3 TCP [TCP segment of a reassembled PDU]
  0.022072 182.55.178.3 -> 183.181.10.26 TCP 58276 > http [ACK] Seq=489 Ack=171 Win=65930 Len=0 TSV=651970851 TSER=96255719
  0.022103 183.181.10.26 -> 182.55.178.3 TCP [TCP segment of a reassembled PDU]
  0.022113 183.181.10.26 -> 182.55.178.3 HTTP HTTP/1.1 200 OK  (text/html)
  0.022138 182.55.178.3 -> 183.181.10.26 TCP 58276 > http [ACK] Seq=489 Ack=172 Win=66098 Len=0 TSV=651970851 TSER=96255719
  0.031902 182.55.178.3 -> 183.181.10.26 TCP 58276 > http [ACK] Seq=489 Ack=1494 Win=64778 Len=0 TSV=651970862 TSER=96255730
  0.031910 182.55.178.3 -> 183.181.10.26 TCP 58276 > http [ACK] Seq=489 Ack=2349 Win=63924 Len=0 TSV=651970862 TSER=96255730
  0.034140 182.55.178.3 -> 183.181.10.26 TCP 58276 > http [FIN, ACK] Seq=489 Ack=2349 Win=66100 Len=0 TSV=651970862 TSER=96255730
  0.034164 183.181.10.26 -> 182.55.178.3 TCP http > 58276 [ACK] Seq=2349 Ack=490 Win=6912 Len=0 TSV=96255742 TSER=651970862
  0.182031 182.55.178.3 -> 183.181.10.26 TCP 8773 > http [SYN] Seq=0 Win=65535 Len=0 MSS=1334 WS=1 TSV=651971009 TSER=0

まぁ、Linuxベースならtcpdumpでもよさげだけどねっ♪