WireSharkで特定のIPとの通信だけトレースを取る

投稿日:2015年11月22日

画面の一番目立つ所にあるフィルタリングの機能は、既に取得したトレースをフィルタリングするためにあります。

image

そもそも取得するトレース量をあらかじめフィルターするには・・・

1)「Capture」→ 「Options」を選択

image

2) ボックスの部分に式を入れる

host <キャプチャーしたい通信先のIP>

でOKです。

image

私の場合、殆どのケースで IPアドレスのフィルタリングだけで足りてしまいます。

WireShark の負荷を減らす工夫には・・

パケットの量が多いトラフィックのキャプチャーを取っている場合は、PCがとても重くなります。
効果があるのかわかりませんが、トレースの対象となるインターフェイスをあらかじめ選択しておくことで、WirShark の処理量を減らす事ができます。(と思います)

「Capture」→「Interfaces」を選ぶとキャプチャーを取る対象を選ぶ事ができます。

image

例えば外部の機器との通信を計る場合は、VMware や Virtual Box の仮想インターフェイスのトレースを監視する必要はありませんし、無線LANを使う必要がなければ、無線LANをオフにしてチェックを外しておくと WireShark側としてもフィルタリングする対象が減って軽くなるんじゃないかと思います。(焼け石に水かもしれませんが)
image