コラム・解説

Wiresharkでパケットキャプチャ(ダウンロードと基本的な使い方)

投稿日:

adsense

Wireshark

Wireshark(旧:Ethereal)は多くのプラットフォーム(Windows、Mac OS X、UNIX/Linux)に対応しているフリーのパケットキャプチャ&アナライザソフトで、有線や無線LANネットワークに流れる通信を見ることができます。
例えばネットワーク障害発生時「インターネットに繋がらない」と言っても様々なケースが考えられるので原因究明にこのソフトが活躍します。
IPアドレスを自動取得設定にしているのであればDHCPサーバからIPアドレスが払い出されているのかいないのか、ARP解決ができてないから宛先が分からない状態に陥っているのか、DNSサーバが名前解決できていないからなのか、クライアントからTCPコネクションを確率しようとスリーウェイハンドシェイクにおけるSYNフラグ付きのパケットを投げたもののサーバから応答が返ってこないならサーバがダウンしているのではという推測や、TCPヘッダーの制御ビットにRSTを含んだACK応答が返されるのであればサーバから弾かれている気がする、など、ある程度の目星を付けることができます。
日本語未対応であることや、「どこの通信先と何のためにどんなパケットをやり取りをしているのか」を少しでも正確に理解するには、ソフトの使い方というよりプロトコルに関する高度な知識が必要です。私はCCNPを保有していますが、何がなにやらさっぱり分からない項目や概念の方が圧倒的に多いです。この間 NULL 暗号化アルゴリズムを使用しているESPパケットの解読機能動作や、SSL/TLSトラフィックの復号が実際に動作した時は目から鱗でした。
最近まで1.0.x系だったバージョンが先月1.2.xにバージョンアップしていたので紹介。

Wireshark 最新版(無料)のダウンロード

本家のダウンロードページから入手します。
Wireshark 本家ページ

Wiresharkのインストール

アプリケーションの保存画面。
Wireshark 保存画面
実行します。
Wireshark 実行画面
インストーラが起動します。
Wireshark インストーラ
説明画面で「I agree」を選択します。
Wireshark 説明画面
インストールファイルの選択画面です。
Wireshark インストールファイルの選択
スタートメニューアイコン、デスクトップアイコン、タスクバーのクイックランチャーに追加するかの選択。下はキャプチャファイルの関連付け。
Wireshark 各アイコン作成や関連付け
インストールディレクトリの選択画面です。
Wireshark インストールディレクトリの選択
WinPcapのインストールは必須です。
あなたの画面のデフォルトのままで進めて問題ありません。
WinPcapが入っていなかったり古いバージョンであればWinPcapのインストール項目にチェックが入っていて、この時に古いバージョンの削除やインストールを割り込んで行えます。
下の項目については管理者権限がなくてもWiresharkが動くようになるそうです。
Win Pcapのインストール
アプリケーションのインストールが始まります。
Wireshark インストール中
インストール完了後、上の項目にチェックを入れてインストーラを閉じるとWiresharkを起動します。
Wireshark インストール完了

Wiresharkの起動後のキャプチャ方法

Wireshark 1.2.0 起動画面。このバージョンからインターフェイスリストが起動直後の画面に追加されたため、1クリックでNICを選択とキャプチャ開始を行えるようになっています。
Wiresharkの起動画面
選べるNICや名称は人それぞれなので、どのNICを選択すれば分からないという方は、②もしくは③→Interfacesで一覧を出したままで通信(動画サイト閲覧など)を行い、Packets量の増加分を見るのが手っ取り早いと思います。
Wireshark インターフェイスの一覧画面
キャプチャを停止するには「×」アイコンをクリックするのが簡単です。
Wireshark キャプチャのストップ
キャプチャしたデータを保存するには[File]→[Save As…]から行えます。
Wireshark パケットキャプチャデータの保存

Wiresharkの設定例

[Edit]-[Preferences...]メニューからカスタマイズが行えます。
例えば今回は[+]User Interfaceを展開してColumns項目から、[Add]→Length と名前付けてフォーマットを「Packet length(bytes)」に選択することでパケットの大きさが分かる項目を増やしました。OKボタンの横にあるApplyを忘れずに押下しましょう。
Wireshark 設定画面(例としてパケットLengthの項目追加方法)
また、Wiresharkの定番設定としてプロミスキャスモードというものがあります。
[+]User Interfaceを展開したところにある[Capture]項目で、「Capture packet in promiscuous mode」のチェックを外した状態だとWireshark動作PC間通信のみキャプチャします。場合によって使い分けるのが基本ですが、Wiresharkには強力なフィルタリング機能があるので後で条件を指定して抽出表示することもできます。
Wireshark promiscuousモード

adsense_336px



adsense_336px



-コラム・解説

Copyright© 星を見る人 , 2018 All Rights Reserved Powered by STINGER.