web-dev-qa-db-ja.com

tsharkでデバイス固有のUSBパケットをキャプチャするにはどうすればよいですか?

USB機器を持っていて、その上でパケットをキャプチャしたいと思います。私は走った.\tshark.exe -DそしてUSBインターフェースは6番です。それから私はコマンドを実行しました:.\tshark.exe -c 100 -i 6デバイスからのUSBトラフィックをキャプチャしているようです。

次に、このデバイスが実行されているときに、複数のUSBデバイスがシステムに接続されている可能性があり、指定するだけでは不十分である可能性があることに気付きました。デバイスID(0x0009)とベンダーID(0x08f7)を知っていますが、tsharkを介してキャプチャする正確なデバイスを指定するにはどうすればよいですか?

Windows8のコマンドラインでtsharkを実行しています。

1
j0h

tsharkでデバイス固有のUSBパケットをキャプチャするにはどうすればよいですか?

デバイスID(0x0009)とベンダーID(0x08f7)を知っていますが、tsharkを介してキャプチャする正確なデバイスを指定するにはどうすればよいですか?

tshark(1)-Linuxのマニュアルページtshark-Wiresharkのマニュアルページ 、および-f-iのスイッチオプションを確認することをお勧めします。

さらに、 Wireshark Capture Filters および Wireshark USB Display Filter Reference を参照してください。これらは、必要に応じてフィルタリングおよび適合する適切なコマンドを作成するのに役立ちます。

usb.device_address == #usb.addr == #などのキャプチャフィルタ式を-fスイッチとともに使用して、特定のUSBデバイスからのパケットのみをキャプチャするようにスニフに指示できる場合があります。

tshark-Wiresharkのmanページ

キャプチャまたは読み取りフィルターは、-fまたは-[〜#〜] r [〜それぞれ#〜]オプション。この場合、フィルター式全体を単一の引数として指定する必要があります(つまり、スペースが含まれている場合は引用符で囲む必要があります)。オプション引数の後のコマンドライン引数。この場合、フィルター引数の後のすべての引数はフィルター式として扱われます。キャプチャフィルターは、ライブキャプチャを実行する場合にのみサポートされます。読み取りフィルターは、ライブキャプチャの実行時およびキャプチャファイルの読み取り時にサポートされますが、フィルタリング時にTSharkがより多くの作業を行う必要があるため、読み取りフィルターを使用している場合、高負荷でパケットが失われる可能性が高くなります。フィルタがオプション引数の後にコマンドライン引数で指定されている場合、キャプチャが実行されている場合(つまり、-rオプションが指定されていない場合)はキャプチャフィルタであり、キャプチャファイルが読み取られている場合(つまり、 -rオプションが指定された場合)。

-f <capture filter>

キャプチャフィルター式を設定します。

このオプションは複数回発生する可能性があります。 -iオプションが最初に出現する前に使用すると、デフォルトのキャプチャフィルター式が設定されます。 -iオプションの後に使用すると、このオプションの前にある最後の-iオプションで指定されたインターフェイスのキャプチャフィルタ式が設定されます。キャプチャフィルター式が特に設定されていない場合、提供されている場合はデフォルトのキャプチャフィルター式が使用されます。

ソース


tshark(1)-Linuxのマニュアルページ

-i <capture interface>|-

ライブパケットキャプチャに使用するネットワークインターフェイスまたはパイプの名前を設定します。

ネットワークインターフェイス名は、「tshark -D」(上記)にリストされている名前の1つと一致する必要があります。 「tshark-D」で報告されている数値も使用できます。 UNIXを使用している場合は、「netstat -i」または「ifconfig -a "は、インターフェイス名を一覧表示する場合にも機能する可能性がありますが、UNIXのすべてのバージョンがifconfigの-aオプションをサポートしているわけではありません。

インターフェイスが指定されていない場合、TSharkはインターフェイスのリストを検索し、非ループバックインターフェイスがある場合は最初の非ループバックインターフェイスを選択し、非ループバックインターフェイスがない場合は、最初のループバックインターフェイス。インターフェイスがまったくない場合、TSharkはエラーを報告し、キャプチャを開始しません。

標準入力からデータを読み取るには、パイプ名をa FIFO(名前付きパイプ))または ''-''のいずれかにする必要があります。パイプから読み取るデータは、標準のlibpcap形式である必要があります。

注:Win32バージョンのTSharkは、パイプからのキャプチャをサポートしていません!

ソース

1
Pimp Juice IT