NASのファイアウォールアプリケーションからPCAPファイルを取得したのですが、普通には開けないためCentOS7でtsharkをインストールして開きました。
PCAPはpacket capureの略でネットワーク上のパケットを取得することです。
PCAP拡張子のファイルはその取得したパケットのデータが格納されています。
このファイルは普通のコマンドでは開けないため、ネットワーク解析に使われるtsharkというツールをインストールして開きます。
tsharkをインストールする
tsharkをインストールします。
yum install wireshark-cli
wireshark-cliというのをインストールしていますが、こちらがtsharkです。
wiresharkのコマンドライン(cli)版がtsharkです。
wiresharkはGUIを備えたネットワーク解析ツールです。
tsharkでPCAPファイルを開く
CentOS7サーバーの/tmpにファイルを配置します。
/tmpフォルダで作業しようと考えただけであるため、別に/tmpでなくて任意の場所でよいです。
置き方は割愛します。
PCAPファイルをtsharkで読み込みtxtファイルに内容を出力します。
cd /tmp
tshark -r test.pcap -V > test.txt
-rはパケットファイルの指定です。
-Vはパケットの詳細情報を表示するよう指定します。
問題なく実行できればPCAPファイルの内容がtxtファイルに出力されます。
後は好きに中身を確認するだけです。
vi test.txt
問題がありそうなパケットがないこと祈ります
