ネットワークの学習をするのに、Wiresharkは是非とも活用していただきたいツールです。

Wiresharkのインストールは、以下にファイルやインストール方法が分かりやすく記載されています。
https://ja.osdn.net/projects/wireshark/howto/install

簡単に概要を紹介します。

■1.使うまで
Wiresharkのダウンロード
◆  掘,離ぅ鵐好函璽襦WinPcap
Interface ListからキャプチャするIFを選択した「Start」

■2.インストール後、さあ、使ってみよう。
(1)基本動作 開始、停止、保存
・キャプチャのスタート
 上記にも書いたが、起動後、キャプチャするIFをダブルクリックすればいい
・キャプチャの停止 →赤い■のボタン
・設定を変更するには、停止をしたあと、その2つ右の歯車のようなボタンを押す
・もう一度キャプチャ→一番左の青いボタン
・キャプチャファイルの保存:停止後、左上の「ファイル」から「...として保存」。ファイルの拡張子は昔は.pcapだったが、今はng(next generation)をつけてpcapng

(2)画面構成
・キャプチャ画面 3つの層に分かれている。上から以下の3つである。
.僖吋奪醗賤
個別パケットの詳細
生データ(左が16進数表記、右がそれをASCII文字にしたもの)

補足:,亡悗靴董◆time」は、パケットキャプチャを開始してからの秒数。※小数点かなり細かくまで表示されますね。見づらいと思った人は、「表示」>「時刻表示形式」で西暦の時刻表示などにも変更可能。

・色付け
 「表示」>「色付けルール」がある。デフォルトで色付けのルールが指定されている。変更も可能。

(3)フィルタ
パケットは大量にあるので、フィルタが有効である。
.侫ルタ欄から
Filter欄をうまく使う。例えば、icmpなどのプロトコルを入れると、該当するプロトコルのみにフィルターされる。
以下は、icmpでフィルタした例
filter
その他のフィルタ例は
  ・除外する (例)ICMPを除外 ⇒!icmp
  ・IPアドレスを指定する ip.addr==192.168.1.1
  ・条件をandやorでつなげることも可能。
  icmp and ip.addr == 192.168.0.7
  ・ポート番号は以下
   tcp.port == 80

▲僖吋奪箸鯀択して、右クリックで
「フィルタとして適用」>「適用済」としても、フィルタができる。フィルタしたい項目(たとえば、宛先IPなのか、送信元IPなのか。プロトコルではできなかった)で右クリックするとよい。
・フィルタに関しては、フィルタしたい項目を右クリックで「フィルタに適用」をすると、構文が出てくるので参考にするといいと思う。

・正規表現というか、文字列を含む検索もできる。その場合はcontainsを使う
http.authbasic contains abc

その他
・フィルタの右にある×でフィルタの解除ができる。
・また、HTTPを検索したいのに、うまく出てこない場合がある。それは、たとえば、3wayハンドシエークはTCPだが、実際の通信はHTTPで表示されるからである。なので、この場合は送信元IPで検索したり、TCPのポート80で検索した方がいい場合もある。(例は以下)
tcp.port == 80 || udp.port == 80
このあたりはやりながら確認してもらいたい。

せ前にフィルタ
・この画面でフィルタするのではなく、事前にフィルタの設定ができる。ただし、構文が変わるので注意。たとえば、192.168.0.7のIPからの通信だけをフィルタするには、以下とする。
host 192.168.0.7
※このとき、該当のIFをクリックしてスタートすることを忘れないように。

(4)追跡(TCPストリーム)
TCPの通信は、3wayハンドシエークから始まり、一つのコネクションを確立する。その一連の通信を確認する方法だ。これであれば、パケットがあちこち行かずにまとめて見えるので、見やすい。→たしか、ポート番号を含むTCPコネクション情報でひとまとまりにしているはずだ。
方法は、パケットを選択して右クリック、「追跡」>「TCPストリーム」である。
これがすごいのは、普通のHTTPは難しいが、FTPで通信した様子などは、きれいに表示してくれる。
このとき、右下にストリーム番号が表示され、一つ一つ順番にHTMLファイルなどを表示してくれる。これで、データをじっくり見るといいだろう。

・また、添付ファイルがある通信をまとめて、RAW形式(生データ)で保存すれば、ファイルを復元も可能だ。
以下のページにあるが、2.zipというファイルを復元している様子が書かれてある。すごい!
https://book.mynavi.jp/manatee/detail/id=64023

(5)ファイルの出力
ファイル>オブジェクトをエクスポート から行える
HTTPなどで実施すると、ファイルがそのまま取得できるからすごい。
imfだとメールの復元が可能。→先にimfでフィルタして、メールの復元も可能である。

(6)その他
・IPアドレスの一覧
「統計(Statistics)」>「Conversions」で、イーサネットヘッダおよびIPアドレスの一覧が見える。

・プロトコルの一覧
「「統計(Statistics)」>「プロトコル階層(Protocol Hierarchy)」

スポンサードリンク