Wiresharkでパケットからデータを抽出する
FTPパケットを含むpcapファイルが降ってきました。
このpcapファイルから、送信されたファイルのデータを抽出します。
久しぶりにWiresharkを使ったら、フィルタの使い方など忘れていたので今後のためにメモを残しておきます。
手順
pcapファイルをWiresharkで開く。
今回はFTPで通信したデータを抽出したいので、フィルタに「ftp or ftp-data」と入力してパケットを絞り込む。
「Protocol」が「FTP-DATA」になっている箇所を選択し、右クリック。
「Follow-->TCP Stream」を選択。
「Show and save data as 」の箇所で「Raw」を選択。
「Save as...」で抽出したいデータに合わせた拡張子で保存する。
データに合ったアプリケーションでファイルを開く。
抽出したいデータの形式がわからない場合は?
各種Linuxに標準で存在している「file」コマンドでデータの形式を確認することができます。
さいごに
Wiresharkに限らず、パケット解析のことをもっと勉強したい。
レビューを見ていると、下記あたりを読むのか良いだろうか。
ハッキング・ラボのつくりかた 仮想環境におけるハッカー体験学習
- 作者:IPUSIRON
- 発売日: 2018/12/07
- メディア: 単行本(ソフトカバー)
パケットキャプチャの教科書 (Informatics&IDEA)
- 作者:みやた ひろし
- 発売日: 2017/10/14
- メディア: 単行本