2015/11/23

WireShark2.0からUSBPcapが取り込まれたので、TIスニファを試す

出ましたね、WireShark2.0。
ネットワークプロトコルアナライザー「Wireshark」がメジャーアップデート - 窓の杜

インストール中に気付いたが、USBPcapがとうとう取り込まれることになった。
以前のこんなめんどくさいことをしなくてもよくなるんではなかろうか。

 

これと同じように、TIのBLEドングルの通信を吸い取ってみよう。
hiro99ma blog: [ble]どうせならWireSharkで直接パケットを見られないだろうか
環境は、Windows7 64bit SP1 + WireShark v2.0.0だ。


起動すると、こんな画面が出てくる。
(最初は日本語で出てたけど、さっき見たら英語になってたので、キャプチャし直した。)

image

下に、キャプチャとなるデバイスの一覧が出ているようだ。
USBPcapというのがいくつもあるが、これがUSBPcapCMD.exeを実行したときに出てくる一覧と一致しているようだ。
どれにTIのドングルが入っているかわからないので、手当たり次第に開いたら、3番に入っていた。

ダイアログを出すときは、歯車のアイコンの方をクリックする。
ただ、ここで期待するデバイスを選択しても、データは配下のものを全部取ってくるようだ。

image

ここで「開始」とすると、おお、キャプチャーが始まった!
というスクリーンショットを撮ろうとしたのだが、プロファイルを変更しようとしたら異常終了してしまった・・・。

異常終了したときは、タスクマネージャーを確認しておこう。
どういうときかわからないが、USBPcapCMD.exeが残ったままで、しかも高負荷になっていることがあるのだ。

 

気を取り直して、もう一度。

image

ドングルの制御ができるわけじゃないから、TIのスニファを起動させている。
選択している箇所が、Advertisingのデータらへんだ。

 

で、左側のリストに緑色のがあるが、そこはUSBMSで、MassStorageのパケット。
mbedを接続しているのだけど、同じPcap3につながっているから見えてしまうのだ。
これは、フィルタで「usb.device_address == xx」を指定するのがよいだろう。
実際に取ったパケットから選択するのが楽だな。

image

 

あとは、MassStorageみたいに動的な解釈をしてくれればよし、なのだが。
hiro99ma blog: [ble]CC2540 USB Dongleから直接WireSharkで見る
記憶から抜けていたが、ここでLUAを作っていたらしい。
そのまま使うと動かなかったのだが、どこかの時点でDissectorTableが変わったようで、変更したら動いた。

https://sites.google.com/site/hiro99ma/ble/files/ble_cc2540dongle.lua?attredirects=0&d=1

image

Advertisingだってことがわかるし、Flagsの解析もしてくれるので、CSS.pdfを見なくて済むな。

0 件のコメント:

コメントを投稿

コメントありがとうございます。
スパムかもしれない、と私が思ったら、
申し訳ないですが勝手に削除することもあります。

注: コメントを投稿できるのは、このブログのメンバーだけです。