🛠️ 開発・MCP コミュニティ
analysis-tshark
Wiresharkのコマンドラインインターフェースを用いて、ネットワークトラフィックの分析、セキュリティ調査、不正アクセス検出、脆弱性研究などのためにパケットをキャプチャ・解析し、機密情報を抽出するSkill。
📜 元の英語説明(参考)
Network protocol analyzer and packet capture tool for traffic analysis, security investigations, and forensic examination using Wireshark's command-line interface. Use when: (1) Analyzing network traffic for security incidents and malware detection, (2) Capturing and filtering packets for forensic analysis, (3) Extracting credentials and sensitive data from network captures, (4) Investigating network anomalies and attack patterns, (5) Validating encryption and security controls, (6) Performing protocol analysis for vulnerability research.
🇯🇵 日本人クリエイター向け解説
一言でいうと
Wiresharkのコマンドラインインターフェースを用いて、ネットワークトラフィックの分析、セキュリティ調査、不正アクセス検出、脆弱性研究などのためにパケットをキャプチャ・解析し、機密情報を抽出するSkill。
※ jpskill.com 編集部が日本のビジネス現場向けに補足した解説です。Skill本体の挙動とは独立した参考情報です。
⚡ おすすめ: コマンド1行でインストール(60秒)
下記のコマンドをコピーしてターミナル(Mac/Linux)または PowerShell(Windows)に貼り付けてください。 ダウンロード → 解凍 → 配置まで全自動。
🍎 Mac / 🐧 Linux
mkdir -p ~/.claude/skills && cd ~/.claude/skills && curl -L -o analysis-tshark.zip https://jpskill.com/download/17018.zip && unzip -o analysis-tshark.zip && rm analysis-tshark.zip
🪟 Windows (PowerShell)
$d = "$env:USERPROFILE\.claude\skills"; ni -Force -ItemType Directory $d | Out-Null; iwr https://jpskill.com/download/17018.zip -OutFile "$d\analysis-tshark.zip"; Expand-Archive "$d\analysis-tshark.zip" -DestinationPath $d -Force; ri "$d\analysis-tshark.zip"完了後、Claude Code を再起動 → 普通に「動画プロンプト作って」のように話しかけるだけで自動発動します。
💾 手動でダウンロードしたい(コマンドが難しい人向け)
- 1. 下の青いボタンを押して
analysis-tshark.zipをダウンロード - 2. ZIPファイルをダブルクリックで解凍 →
analysis-tsharkフォルダができる - 3. そのフォルダを
C:\Users\あなたの名前\.claude\skills\(Win)または~/.claude/skills/(Mac)へ移動 - 4. Claude Code を再起動
⚠️ ダウンロード・利用は自己責任でお願いします。当サイトは内容・動作・安全性について責任を負いません。
🎯 このSkillでできること
下記の説明文を読むと、このSkillがあなたに何をしてくれるかが分かります。Claudeにこの分野の依頼をすると、自動で発動します。
📦 インストール方法 (3ステップ)
- 1. 上の「ダウンロード」ボタンを押して .skill ファイルを取得
- 2. ファイル名の拡張子を .skill から .zip に変えて展開(macは自動展開可)
- 3. 展開してできたフォルダを、ホームフォルダの
.claude/skills/に置く- · macOS / Linux:
~/.claude/skills/ - · Windows:
%USERPROFILE%\.claude\skills\
- · macOS / Linux:
Claude Code を再起動すれば完了。「このSkillを使って…」と話しかけなくても、関連する依頼で自動的に呼び出されます。
詳しい使い方ガイドを見る →- 最終更新
- 2026-05-18
- 取得日時
- 2026-05-18
- 同梱ファイル
- 5
📖 Skill本文(日本語訳)
※ 原文(英語/中国語)を Gemini で日本語化したものです。Claude 自身は原文を読みます。誤訳がある場合は原文をご確認ください。
TShark ネットワークプロトコルアナライザ
概要
TShark は、Wireshark プロジェクトのコマンドラインネットワークプロトコルアナライザです。セキュリティ調査、フォレンジック分析、およびネットワークトラブルシューティングのための強力なパケットキャプチャおよび分析機能を提供します。このスキルでは、トラフィック分析、クレデンシャル抽出、マルウェア検出、およびフォレンジック検査を含む、許可されたセキュリティオペレーションについて説明します。
重要: ネットワークパケットキャプチャは機密情報を公開する可能性があるため、適切な許可を得てのみ実行する必要があります。ネットワークトラフィックをキャプチャする前に、法規制の遵守とプライバシーに関する考慮事項を確認してください。
クイックスタート
基本的なパケットキャプチャと分析:
# インターフェース上でパケットをキャプチャ
sudo tshark -i eth0
# 100個のパケットをキャプチャしてファイルに保存
sudo tshark -i eth0 -c 100 -w capture.pcap
# キャプチャファイルを読み込んで分析
tshark -r capture.pcap
# 表示フィルタを適用
tshark -r capture.pcap -Y "http.request.method == GET"
# HTTPオブジェクトを抽出
tshark -r capture.pcap --export-objects http,extracted_files/コアワークフロー
ネットワーク分析ワークフロー
進捗状況: [ ] 1. パケットキャプチャの承認を確認 [ ] 2. ターゲットインターフェースとキャプチャ要件を特定 [ ] 3. 適切なフィルタを使用してネットワークトラフィックをキャプチャ [ ] 4. キャプチャされたパケットをセキュリティインジケータについて分析 [ ] 5. アーティファクト(ファイル、クレデンシャル、セッション)を抽出 [ ] 6. 調査結果とセキュリティへの影響を文書化 [ ] 7. キャプチャファイルを安全に取り扱い、保管 [ ] 8. 保持ポリシーに従って機密データをクリーンアップ
各ステップを体系的に進めてください。完了した項目にチェックを入れてください。
1. 承認の検証
重要: パケットキャプチャの前に:
- ネットワーク監視の書面による承認を確認
- 法規制の遵守(盗聴法、プライバシー規制)を確認
- データ処理と保持の要件を理解
- キャプチャの範囲(インターフェース、期間、フィルタ)を文書化
- キャプチャされたデータの安全なストレージを確保
2. インターフェースの検出
利用可能なネットワークインターフェースを特定します。
# すべてのインターフェースをリスト表示
tshark -D
# インターフェースの詳細とともにリスト表示
sudo tshark -D
# 特定のインターフェースでキャプチャ
sudo tshark -i eth0
sudo tshark -i wlan0
# 任意のインターフェースでキャプチャ
sudo tshark -i any
# 複数のインターフェースでキャプチャ
sudo tshark -i eth0 -i wlan0インターフェースの種類:
- eth0/ens33: イーサネットインターフェース
- wlan0: ワイヤレスインターフェース
- lo: ループバックインターフェース
- any: すべてのインターフェース (Linux のみ)
- mon0: モニターモードインターフェース (ワイヤレス)
3. 基本的なパケットキャプチャ
ネットワークトラフィックをキャプチャします。
# 無期限にキャプチャ (Ctrl+C で停止)
sudo tshark -i eth0
# 特定の数のパケットをキャプチャ
sudo tshark -i eth0 -c 1000
# 特定の期間 (秒) キャプチャ
sudo tshark -i eth0 -a duration:60
# ファイルにキャプチャ
sudo tshark -i eth0 -w capture.pcap
# リングバッファでキャプチャ (ファイルをローテーション)
sudo tshark -i eth0 -w capture.pcap -b filesize:100000 -b files:5キャプチャオプション:
-c <count>: キャプチャするパケット数-a duration:<sec>: 指定時間後に自動停止-w <file>: ファイルに書き込み-b filesize:<KB>: ファイルサイズでローテーション-b files:<num>: N個のリングバッファファイルを保持
4. キャプチャフィルタ
効率のために、キャプチャ中に BPF (Berkeley Packet Filter) を適用します。
# HTTPトラフィックのみをキャプチャ
sudo tshark -i eth0 -f "tcp port 80"
# 特定のホストをキャプチャ
sudo tshark -i eth0 -f "host 192.168.1.100"
# サブネットをキャプチャ
sudo tshark -i eth0 -f "net 192.168.1.0/24"
# 複数のポートをキャプチャ
sudo tshark -i eth0 -f "tcp port 80 or tcp port 443"
# 特定のトラフィックを除外
sudo tshark -i eth0 -f "not port 22"
# SYNパケットのみをキャプチャ
sudo tshark -i eth0 -f "tcp[tcpflags] & tcp-syn != 0"一般的なキャプチャフィルタ:
host <ip>: IPとの間のトラフィックnet <cidr>: ネットワークとの間のトラフィックport <port>: 特定のポートtcp|udp|icmp: プロトコルタイプsrc|dst: 方向フィルタand|or|not: 論理演算子
5. 表示フィルタ
Wireshark の表示フィルタを使用して、キャプチャされたトラフィックを分析します。
# HTTPリクエストのみ
tshark -r capture.pcap -Y "http.request"
# HTTPレスポンス
tshark -r capture.pcap -Y "http.response"
# DNSクエリ
tshark -r capture.pcap -Y "dns.flags.response == 0"
# TLSハンドシェイク
tshark -r capture.pcap -Y "tls.handshake.type == 1"
# 疑わしいトラフィックパターン
tshark -r capture.pcap -Y "tcp.flags.syn==1 and tcp.flags.ack==0"
# 失敗した接続
tshark -r capture.pcap -Y "tcp.flags.reset==1"高度な表示フィルタ:
# クレデンシャルを含むHTTP POSTリクエスト
tshark -r capture.pcap -Y "http.request.method == POST and (http contains \"password\" or http contains \"username\")"
# SMBファイル転送
tshark -r capture.pcap -Y "smb2.cmd == 8 or smb2.cmd == 9"
# 疑わしいUser-Agent
tshark -r capture.pcap -Y "http.user_agent contains \"python\" or http.user_agent contains \"curl\""
# 大量のデータ転送
tshark -r capture.pcap -Y "tcp.len > 1400"
# ビーコン検出 (定期的なトラフィック)
tshark -r capture.pcap -Y "http" -T fields -e frame.time_relative -e ip.dst6. プロトコル分析
特定のプロトコルを分析します。
HTTP/HTTPS 分析:
# HTTPリクエストを抽出
tshark -r capture.pcap -Y "http.request" -T fields -e ip.src -e http.host -e http.request.uri
# HTTP User-Agentを抽出
tshark -r capture.pcap -Y "http.user_agent" -T fields -e ip.src -e http.user_agent
# HTTPステータスコード
tshark -r capture.pcap -Y "http.response" -T fields -e ip.src -e http.response.code
# HTTP Cookieを抽出
tshark -r capture.pcap -Y "http.cookie" -T fields -e ip.src -e http.cookieDNS 分析:
# DNSクエリ
tshark -r capture.pcap -Y "dns.flags.response == 0" -T fields -e ip.src -e dns.qry.name
# DNSレスポンス
tshark -r capture.pcap -Y "dns.flags.response == 1" -T fields -e dns.qry.name -e dns.a
# DNSトンネリング検出 (長いドメイン名)
tshark -r capture.pcap -Y "dns" -T fields -e dns.qry.name | awk 'length > 50'
# DNSクエリタイプ
tshark -r capture.pcap -Y "dns" -T fields -e dns.qry.type -e dns.qry.
(原文がここで切り詰められています)📜 原文 SKILL.md(Claudeが読む英語/中国語)を展開
TShark Network Protocol Analyzer
Overview
TShark is the command-line network protocol analyzer from the Wireshark project. It provides powerful packet capture and analysis capabilities for security investigations, forensic analysis, and network troubleshooting. This skill covers authorized security operations including traffic analysis, credential extraction, malware detection, and forensic examination.
IMPORTANT: Network packet capture may expose sensitive information and must only be conducted with proper authorization. Ensure legal compliance and privacy considerations before capturing network traffic.
Quick Start
Basic packet capture and analysis:
# Capture packets on interface
sudo tshark -i eth0
# Capture 100 packets and save to file
sudo tshark -i eth0 -c 100 -w capture.pcap
# Read and analyze capture file
tshark -r capture.pcap
# Apply display filter
tshark -r capture.pcap -Y "http.request.method == GET"
# Extract HTTP objects
tshark -r capture.pcap --export-objects http,extracted_files/Core Workflow
Network Analysis Workflow
Progress: [ ] 1. Verify authorization for packet capture [ ] 2. Identify target interface and capture requirements [ ] 3. Capture network traffic with appropriate filters [ ] 4. Analyze captured packets for security indicators [ ] 5. Extract artifacts (files, credentials, sessions) [ ] 6. Document findings and security implications [ ] 7. Securely handle and store capture files [ ] 8. Clean up sensitive data per retention policy
Work through each step systematically. Check off completed items.
1. Authorization Verification
CRITICAL: Before any packet capture:
- Confirm written authorization for network monitoring
- Verify legal compliance (wiretapping laws, privacy regulations)
- Understand data handling and retention requirements
- Document scope of capture (interfaces, duration, filters)
- Ensure secure storage for captured data
2. Interface Discovery
Identify available network interfaces:
# List all interfaces
tshark -D
# List with interface details
sudo tshark -D
# Capture on specific interface
sudo tshark -i eth0
sudo tshark -i wlan0
# Capture on any interface
sudo tshark -i any
# Capture on multiple interfaces
sudo tshark -i eth0 -i wlan0Interface types:
- eth0/ens33: Ethernet interface
- wlan0: Wireless interface
- lo: Loopback interface
- any: All interfaces (Linux only)
- mon0: Monitor mode interface (wireless)
3. Basic Packet Capture
Capture network traffic:
# Capture indefinitely (Ctrl+C to stop)
sudo tshark -i eth0
# Capture specific number of packets
sudo tshark -i eth0 -c 1000
# Capture for specific duration (seconds)
sudo tshark -i eth0 -a duration:60
# Capture to file
sudo tshark -i eth0 -w capture.pcap
# Capture with ring buffer (rotate files)
sudo tshark -i eth0 -w capture.pcap -b filesize:100000 -b files:5Capture options:
-c <count>: Capture packet count-a duration:<sec>: Auto-stop after duration-w <file>: Write to file-b filesize:<KB>: Rotate at file size-b files:<num>: Keep N ring buffer files
4. Capture Filters
Apply BPF (Berkeley Packet Filter) during capture for efficiency:
# Capture only HTTP traffic
sudo tshark -i eth0 -f "tcp port 80"
# Capture specific host
sudo tshark -i eth0 -f "host 192.168.1.100"
# Capture subnet
sudo tshark -i eth0 -f "net 192.168.1.0/24"
# Capture multiple ports
sudo tshark -i eth0 -f "tcp port 80 or tcp port 443"
# Exclude specific traffic
sudo tshark -i eth0 -f "not port 22"
# Capture SYN packets only
sudo tshark -i eth0 -f "tcp[tcpflags] & tcp-syn != 0"Common capture filters:
host <ip>: Traffic to/from IPnet <cidr>: Traffic to/from networkport <port>: Specific porttcp|udp|icmp: Protocol typesrc|dst: Direction filterand|or|not: Logical operators
5. Display Filters
Analyze captured traffic with Wireshark display filters:
# HTTP requests only
tshark -r capture.pcap -Y "http.request"
# HTTP responses
tshark -r capture.pcap -Y "http.response"
# DNS queries
tshark -r capture.pcap -Y "dns.flags.response == 0"
# TLS handshakes
tshark -r capture.pcap -Y "tls.handshake.type == 1"
# Suspicious traffic patterns
tshark -r capture.pcap -Y "tcp.flags.syn==1 and tcp.flags.ack==0"
# Failed connections
tshark -r capture.pcap -Y "tcp.flags.reset==1"Advanced display filters:
# HTTP POST requests with credentials
tshark -r capture.pcap -Y "http.request.method == POST and (http contains \"password\" or http contains \"username\")"
# SMB file transfers
tshark -r capture.pcap -Y "smb2.cmd == 8 or smb2.cmd == 9"
# Suspicious User-Agents
tshark -r capture.pcap -Y "http.user_agent contains \"python\" or http.user_agent contains \"curl\""
# Large data transfers
tshark -r capture.pcap -Y "tcp.len > 1400"
# Beaconing detection (periodic traffic)
tshark -r capture.pcap -Y "http" -T fields -e frame.time_relative -e ip.dst6. Protocol Analysis
Analyze specific protocols:
HTTP/HTTPS Analysis:
# Extract HTTP requests
tshark -r capture.pcap -Y "http.request" -T fields -e ip.src -e http.host -e http.request.uri
# Extract HTTP User-Agents
tshark -r capture.pcap -Y "http.user_agent" -T fields -e ip.src -e http.user_agent
# HTTP status codes
tshark -r capture.pcap -Y "http.response" -T fields -e ip.src -e http.response.code
# Extract HTTP cookies
tshark -r capture.pcap -Y "http.cookie" -T fields -e ip.src -e http.cookieDNS Analysis:
# DNS queries
tshark -r capture.pcap -Y "dns.flags.response == 0" -T fields -e ip.src -e dns.qry.name
# DNS responses
tshark -r capture.pcap -Y "dns.flags.response == 1" -T fields -e dns.qry.name -e dns.a
# DNS tunneling detection (long domain names)
tshark -r capture.pcap -Y "dns" -T fields -e dns.qry.name | awk 'length > 50'
# DNS query types
tshark -r capture.pcap -Y "dns" -T fields -e dns.qry.type -e dns.qry.nameTLS/SSL Analysis:
# TLS handshakes
tshark -r capture.pcap -Y "tls.handshake.type == 1" -T fields -e ip.src -e ip.dst -e tls.handshake.extensions_server_name
# TLS certificates
tshark -r capture.pcap -Y "tls.handshake.certificate" -T fields -e tls.handshake.certificate
# SSL/TLS versions
tshark -r capture.pcap -Y "tls" -T fields -e tls.record.version
# Weak cipher suites
tshark -r capture.pcap -Y "tls.handshake.ciphersuite" -T fields -e tls.handshake.ciphersuiteSMB/CIFS Analysis:
# SMB file access
tshark -r capture.pcap -Y "smb2" -T fields -e ip.src -e smb2.filename
# SMB authentication
tshark -r capture.pcap -Y "ntlmssp" -T fields -e ip.src -e ntlmssp.auth.username
# SMB commands
tshark -r capture.pcap -Y "smb2" -T fields -e smb2.cmd7. Credential Extraction
Extract credentials from network traffic (authorized forensics only):
HTTP Basic Authentication:
# Extract HTTP Basic Auth credentials
tshark -r capture.pcap -Y "http.authbasic" -T fields -e ip.src -e http.authbasic
# Decode Base64 credentials
tshark -r capture.pcap -Y "http.authorization" -T fields -e http.authorization | base64 -dFTP Credentials:
# Extract FTP usernames
tshark -r capture.pcap -Y "ftp.request.command == USER" -T fields -e ip.src -e ftp.request.arg
# Extract FTP passwords
tshark -r capture.pcap -Y "ftp.request.command == PASS" -T fields -e ip.src -e ftp.request.argNTLM/Kerberos:
# Extract NTLM hashes
tshark -r capture.pcap -Y "ntlmssp.auth.ntlmv2response" -T fields -e ntlmssp.auth.username -e ntlmssp.auth.domain -e ntlmssp.auth.ntlmv2response
# Kerberos tickets
tshark -r capture.pcap -Y "kerberos.CNameString" -T fields -e kerberos.CNameString -e kerberos.realmEmail Credentials:
# SMTP authentication
tshark -r capture.pcap -Y "smtp.req.command == AUTH" -T fields -e ip.src
# POP3 credentials
tshark -r capture.pcap -Y "pop.request.command == USER or pop.request.command == PASS" -T fields -e pop.request.parameter
# IMAP credentials
tshark -r capture.pcap -Y "imap.request contains \"LOGIN\"" -T fields -e imap.request8. File Extraction
Extract files from packet captures:
# Export HTTP objects
tshark -r capture.pcap --export-objects http,extracted_http/
# Export SMB objects
tshark -r capture.pcap --export-objects smb,extracted_smb/
# Export DICOM objects
tshark -r capture.pcap --export-objects dicom,extracted_dicom/
# Export IMF (email) objects
tshark -r capture.pcap --export-objects imf,extracted_email/Manual file reconstruction:
# Extract file data from HTTP response
tshark -r capture.pcap -Y "http.response and http.content_type contains \"application/pdf\"" -T fields -e data.data | xxd -r -p > extracted_file.pdf
# Reassemble TCP stream
tshark -r capture.pcap -q -z follow,tcp,ascii,<stream-number>9. Malware Detection
Identify malicious network activity:
# Detect common C2 beaconing patterns
tshark -r capture.pcap -Y "http" -T fields -e frame.time_relative -e ip.dst -e http.host | sort | uniq -c | sort -rn
# Suspicious DNS queries (DGA domains)
tshark -r capture.pcap -Y "dns.qry.name" -T fields -e dns.qry.name | awk -F'.' '{print $(NF-1)"."$NF}' | sort | uniq -c | sort -rn
# Detect port scanning
tshark -r capture.pcap -Y "tcp.flags.syn==1 and tcp.flags.ack==0" -T fields -e ip.src -e ip.dst -e tcp.dstport | sort | uniq -c | sort -rn
# Detect data exfiltration (large uploads)
tshark -r capture.pcap -Y "http.request.method == POST" -T fields -e ip.src -e http.content_length | awk '$2 > 1000000'
# Suspicious executable downloads
tshark -r capture.pcap -Y "http.response and (http.content_type contains \"application/exe\" or http.content_type contains \"application/x-dosexec\")"10. Statistics and Reporting
Generate traffic statistics:
# Protocol hierarchy
tshark -r capture.pcap -q -z io,phs
# Conversation statistics
tshark -r capture.pcap -q -z conv,tcp
tshark -r capture.pcap -q -z conv,udp
tshark -r capture.pcap -q -z conv,ip
# HTTP statistics
tshark -r capture.pcap -q -z http,tree
# DNS statistics
tshark -r capture.pcap -q -z dns,tree
# Endpoints
tshark -r capture.pcap -q -z endpoints,tcp
tshark -r capture.pcap -q -z endpoints,udp
# Expert info (warnings/errors)
tshark -r capture.pcap -q -z expertSecurity Considerations
Authorization & Legal Compliance
- Written Authorization: Obtain explicit permission for network monitoring
- Privacy Laws: Comply with wiretapping and privacy regulations (GDPR, CCPA, ECPA)
- Data Minimization: Capture only necessary traffic for investigation
- Credential Handling: Treat extracted credentials as highly sensitive
- Retention Policy: Follow data retention and secure deletion requirements
Operational Security
- Encrypted Storage: Encrypt capture files at rest
- Access Control: Restrict access to packet captures
- Secure Transfer: Use encrypted channels for capture file transfer
- Anonymization: Remove or redact PII when sharing captures
- Chain of Custody: Maintain forensic integrity for legal proceedings
Audit Logging
Document all packet capture activities:
- Capture start and end timestamps
- Interface(s) captured
- Capture filters applied
- File names and storage locations
- Personnel who accessed captures
- Purpose of capture and investigation findings
- Secure deletion timestamps
Compliance
- MITRE ATT&CK: T1040 (Network Sniffing)
- NIST CSF: DE.AE (Detection Processes - Anomalies and Events)
- PCI-DSS: Network security monitoring requirements
- ISO 27001: A.12.4 Logging and monitoring
- GDPR: Data protection and privacy requirements
Common Patterns
Pattern 1: Incident Response Investigation
# Capture traffic during incident
sudo tshark -i eth0 -w incident_$(date +%Y%m%d_%H%M%S).pcap -a duration:300
# Analyze for lateral movement
tshark -r incident.pcap -Y "smb2 or rdp or ssh" -T fields -e ip.src -e ip.dst
# Identify C2 communication
tshark -r incident.pcap -Y "http or dns" -T fields -e ip.dst -e http.host -e dns.qry.name
# Extract IOCs
tshark -r incident.pcap -Y "ip.dst" -T fields -e ip.dst | sort -u > ioc_ips.txt
tshark -r incident.pcap -Y "dns.qry.name" -T fields -e dns.qry.name | sort -u > ioc_domains.txtPattern 2: Malware Traffic Analysis
# Capture malware sandbox traffic
sudo tshark -i eth0 -w malware_traffic.pcap
# Extract C2 indicators
tshark -r malware_traffic.pcap -Y "http.host" -T fields -e ip.src -e http.host -e http.user_agent
# Identify DNS tunneling
tshark -r malware_traffic.pcap -Y "dns" -T fields -e dns.qry.name | awk 'length > 50'
# Extract downloaded payloads
tshark -r malware_traffic.pcap --export-objects http,malware_artifacts/
# Analyze encryption/encoding
tshark -r malware_traffic.pcap -Y "http.request.method == POST" -T fields -e data.dataPattern 3: Credential Harvesting Detection
# Monitor for credential transmission
sudo tshark -i eth0 -Y "(http.authorization or ftp or pop or imap) and not tls" -T fields -e ip.src -e ip.dst
# Extract all HTTP POST data
tshark -r capture.pcap -Y "http.request.method == POST" -T fields -e http.file_data > post_data.txt
# Search for password keywords
tshark -r capture.pcap -Y "http contains \"password\" or http contains \"passwd\"" -T fields -e ip.src -e http.request.uri
# NTLM hash extraction
tshark -r capture.pcap -Y "ntlmssp.auth.ntlmv2response" -T fields -e ntlmssp.auth.username -e ntlmssp.auth.domain -e ntlmssp.auth.ntlmv2response > ntlm_hashes.txtPattern 4: Network Forensics
# Reconstruct HTTP conversation
tshark -r capture.pcap -q -z follow,http,ascii,0
# Timeline analysis
tshark -r capture.pcap -T fields -e frame.time -e ip.src -e ip.dst -e tcp.dstport
# Identify file transfers
tshark -r capture.pcap -Y "http.content_type contains \"application/\" or ftp-data" -T fields -e frame.number -e http.content_type
# Geolocation of connections (requires GeoIP)
tshark -r capture.pcap -T fields -e ip.src -e ip.dst -e ip.geoip.src_country -e ip.geoip.dst_countryPattern 5: Wireless Security Assessment
# Capture wireless traffic (monitor mode required)
sudo tshark -i mon0 -w wireless_capture.pcap
# Identify wireless networks
tshark -r wireless_capture.pcap -Y "wlan.fc.type_subtype == 0x08" -T fields -e wlan.ssid -e wlan.bssid
# Detect deauth attacks
tshark -r wireless_capture.pcap -Y "wlan.fc.type_subtype == 0x0c"
# WPA handshake capture
tshark -r wireless_capture.pcap -Y "eapol"
# Client probing activity
tshark -r wireless_capture.pcap -Y "wlan.fc.type_subtype == 0x04" -T fields -e wlan.sa -e wlan.ssidIntegration Points
SIEM Integration
Export packet analysis to SIEM platforms:
# Export to JSON for Splunk/ELK
tshark -r capture.pcap -T ek > packets.json
# Export specific fields in JSON
tshark -r capture.pcap -Y "http" -T json -e ip.src -e ip.dst -e http.host -e http.request.uri
# CSV export for analysis
tshark -r capture.pcap -T fields -E separator=, -e frame.time -e ip.src -e ip.dst -e tcp.dstport > packets.csvScripting and Automation
#!/bin/bash
# continuous_monitor.sh - Continuous network monitoring
INTERFACE="eth0"
ALERT_FILTER="http contains \"cmd.exe\" or dns.qry.name contains \".tk\" or dns.qry.name contains \".xyz\""
sudo tshark -i $INTERFACE -Y "$ALERT_FILTER" -T fields -e frame.time -e ip.src -e ip.dst -e http.host -e dns.qry.name | \
while read line; do
echo "[ALERT] $(date): $line" | tee -a security_alerts.log
# Trigger incident response workflow
echo "$line" | mail -s "Security Alert" soc@company.com
doneTroubleshooting
Issue: "Permission denied" when capturing
Solutions:
# Run with sudo
sudo tshark -i eth0
# Or add user to wireshark group (Linux)
sudo usermod -a -G wireshark $USER
sudo setcap cap_net_raw,cap_net_admin+eip /usr/bin/tshark
# Logout and login for group changes to take effectIssue: "No interfaces found"
Solutions:
# Verify tshark installation
tshark --version
# List interfaces with sudo
sudo tshark -D
# Check interface status
ip link show
ifconfig -aIssue: Capture file is huge
Solutions:
# Use capture filters to reduce size
sudo tshark -i eth0 -f "not port 22" -w capture.pcap
# Use ring buffer
sudo tshark -i eth0 -w capture.pcap -b filesize:100000 -b files:5
# Limit packet size (snaplen)
sudo tshark -i eth0 -s 128 -w capture.pcapIssue: Cannot decrypt TLS traffic
Solutions:
# Provide SSL key log file (requires SSLKEYLOGFILE environment variable)
tshark -r capture.pcap -o tls.keylog_file:sslkeys.log -Y "http"
# Use pre-master secret
tshark -r capture.pcap -o tls.keys_list:192.168.1.100,443,http,/path/to/server.keyDefensive Considerations
Organizations should protect against unauthorized packet capture:
- Network Segmentation: Reduce exposure to packet sniffing
- Encryption: Use TLS/SSL to protect sensitive data in transit
- Switch Security: Enable port security and DHCP snooping
- Wireless Security: Use WPA3, disable broadcast SSID
- Intrusion Detection: Monitor for promiscuous mode interfaces
- Physical Security: Protect network infrastructure from tap devices
Detect packet capture activity:
- Monitor for promiscuous mode network interfaces
- Detect ARP spoofing and MAC flooding attacks
- Audit administrative access to network devices
- Monitor for unusual outbound data transfers
- Deploy network access control (802.1X)
References
同梱ファイル
※ ZIPに含まれるファイル一覧。`SKILL.md` 本体に加え、参考資料・サンプル・スクリプトが入っている場合があります。
- 📄 SKILL.md (19,085 bytes)
- 📎 assets/ci-config-template.yml (11,105 bytes)
- 📎 assets/rule-template.yaml (11,044 bytes)
- 📎 references/EXAMPLE.md (15,672 bytes)
- 📎 references/WORKFLOW_CHECKLIST.md (8,390 bytes)