ぼちぼちぼっちな日常

あるメガネ族の放浪する日々

CloudSharkでパケットキャプチャデータを共有しよう!

IT系 ツール

今日はインターネット上でパケットキャプチャデータを共有できるCloudSharkについてメモ書きを残しますφ('д' )メモメモ

WebブラウザでWiresharkっぽくパケット解析できるWebアプリCloudShark

CloudShark公式サイト

https://appliance.cloudshark.org

CloudSharkはざっくりいうとWebブラウザでpcapファイルやtcpdumpの結果をWireSharkっぽく解析することができるWebアプリです。

僕の非力な英語力では解読しきれてないのですが、開発元のQA Cafe社はCloudShark Applianceという仮想アプライアンス/物理アプライアンスを販売しているようです。

上記アプライアンスでキャプチャファイルの一括管理・解析結果の共有、Webブラウザに引きこもってパケット解析(重いネイティブアプリを個々の端末であげなくていい)、チームメンバーとキャプチャ結果の共有をURLをまくだけでできるとか言うのが利点のようです。(他にも利点があるようなのですが、詳しくは上記の公式サイトを見てください。。。英語力の限界です。。。)

インターネット上での共有なら登録不要かつ無料で利用可能なんです!

そんなCludSharkですが、CloudShark Applianceを購入しなくても、インターネット上での共有であれば登録不要かつ無料で利用することができるのです! CloudShark Applianceのお試し版の位置づけのようですが、ブログなんかでパケットキャプチャを話題に取り上げたり、公開してもいいようなキャプチャであればみんなでよってたかって解析できてとても面白いと思います。 *1

さて、アップロードの方法ですが下記の2つがあります。

  1. Webサイトからファイルをアップする。

  2. Wiresharkのアップロード用のプラグインでアップする。

どちらの方法でもアップロード後、固有のURLが発行されキャプチャデータがWebブラウザ上で閲覧できるようになります。

キャプチャデータをアップロードしてみよう

ここではWiresharkWikiページから拾ってきたキャプチャファイル(telnet-cooked.pcap)を使ってファイルのアップロードを試みます。

WiresharkWikiページのサンプルファイル集

http://wiki.wireshark.org/SampleCaptures

Webサイトでのアップロード

1.下記のWebページに移動する。

https://appliance.cloudshark.org/upload/

(CloudShark公式サイトの最上部のUploadを押しても同じWebページが表示されます。)

2.下図の赤枠の部分をクリック、アップロードしたいファイルを聞かれるので選択してOKする。

f:id:bochibochibocchi0095:20140501132136p:plain

(赤枠のところにアップロードしたいファイルをドラッグ&ドロップするでもアップロードできます。)

3.ファイルアップロード完了後、自動的にアップロードしたキャプチャデータのWebサイトに飛ばされる。

ちなみにこんな感じで出力されます。

https://www.cloudshark.org/captures/c713ee5cf872

Wireshark plug-inのインストールとアップロード

まずはプラグインをインストールしましょう。

プラグインのインストール

1.下記のWebページに移動する。

https://appliance.cloudshark.org/wireshark/

(CloudShark公式サイトの最上部のWireshark Plug-inを押しても同じWebページが表示されます。)

2.プラグインのインストールファイルをダウンロードする。

下にスクロールすると下図のようにインストールファイルをダウンロードするところが出てくるので、お使いのプラットフォームに合わせてダウンロードして下さい。

f:id:bochibochibocchi0095:20140501132201p:plain

3.プラグインのインストールする。

インストール方法はプラットフォームごとに異なるので、わからなくなったらプラグインのマニュアルを見れば解決策がのっているかもしれません。

http://support.cloudshark.org/wireshark-plugin/using-the-wireshark-plugin.html

(僕が使っているOS X 10.9.2だと「開発元が未確認のため開けません」のエラーがでましたが、下記で解決出来ました。)

アプリケーションの起動またはインストールを行うと「開発元が未確認のため開けません」エラーが表示される(Mac OS X 10.8)

それでは無事インストールが終えたらWiresharkでアップロードしてみましょう。

Wireshark Plug-inでのアップロード

1.Wiresharkを起動する。

2.[Tools]->[CloudShark]->[Upload]を選択する。

f:id:bochibochibocchi0095:20140501132232p:plain

3.[Send to CluodShark] というタイトルのウインドウが出るのでOKを押す。

オプションでタグやキャプチャファイル名が付けれるようです。いれなくてもアップロードできます。

f:id:bochibochibocchi0095:20140501132256p:plain

4.アップロード完了後ブラウザが起動し、キャプチャファイルが閲覧できます。

同じファイルなので面白みはありませんが、問題なくアップロードされました。 https://www.cloudshark.org/captures/ad47add9006f

まとめ

上でも述べましたが、ブラウザ上でWiresharkっぽくパケットが閲覧できるので技術的なブログでキャプチャ結果を載せるのにとっても便利だと思います。また、公開してもいいようなものであればみんなで共有・解析できて面白いと思います。

ちなみこのCloudSharkの存在は『実践パケット解析』という本で知りました。他にもなかなか面白いツールを取り上げていたのでまたこのブログにメモを書くかもしれません。

実践 パケット解析 第2版 ―Wiresharkを使ったトラブルシューティング

実践 パケット解析 第2版 ―Wiresharkを使ったトラブルシューティング

( ゚д゚)ハッ! そういえば一緒にパケット解析してくれる友達とかいなかった・・・。

それではまた(`・ω・´)ゞ

*1:アップロードしたファイルはインターネット上に公開されてしまうのでアップロードする際には十分注意してください。例えば、暗号化されていないVoIP通信なんかだと再生ができてしまいます。