Wiresharkの使い方 : ネットワークスペシャリスト

ネットワークの学習をするのに、Wiresharkは是非とも活用していただきたいツールです。

Wiresharkのインストールは、以下にファイルやインストール方法が分かりやすく記載されています。
https://ja.osdn.net/projects/wireshark/howto/install

簡単に概要を紹介します。

■１．使うまで

①Wiresharkのダウンロード
②　　〃　のインストール＋WinPcap
③Interface ListからキャプチャするIFを選択した「Start」

■２．インストール後、さあ、使ってみよう。
（１）基本動作　開始、停止、保存
・キャプチャのスタート
　上記にも書いたが、起動後、キャプチャするIFをダブルクリックすればいい
・キャプチャの停止　→赤い■のボタン
・設定を変更するには、停止をしたあと、その2つ右の歯車のようなボタンを押す
・もう一度キャプチャ→一番左の青いボタン
・キャプチャファイルの保存：停止後、左上の「ファイル」から「...として保存」。ファイルの拡張子は昔は.pcapだったが、今はng(next generation)をつけてpcapng

（２）画面構成
・キャプチャ画面　3つの層に分かれている。上から以下の3つである。
①パケット一覧
②個別パケットの詳細
③生データ（左が16進数表記、右がそれをASCII文字にしたもの）

補足：①に関して、「time」は、パケットキャプチャを開始してからの秒数。※小数点かなり細かくまで表示されますね。見づらいと思った人は、「表示」>「時刻表示形式」で西暦の時刻表示などにも変更可能。

・色付け
　「表示」>「色付けルール」がある。デフォルトで色付けのルールが指定されている。変更も可能。

（３）フィルタ
パケットは大量にあるので、フィルタが有効である。
①フィルタ欄から
Filter欄をうまく使う。例えば、icmpなどのプロトコルを入れると、該当するプロトコルのみにフィルターされる。
以下は、icmpでフィルタした例
filter

その他のフィルタ例は
　　・除外する　（例）ICMPを除外　⇒!icmp
　　・IPアドレスを指定する　ip.addr==192.168.1.1
　　・条件をandやorでつなげることも可能。
　　icmp and ip.addr == 192.168.0.7
　　・ポート番号は以下
　　　tcp.port == 80
　　・AND条件
　　　(tcp.dstport == 64148) && (tcp.srcport == 443)
　　・OR条件
　　　(tcp.dstport == 64148) || (tcp.srcport == 64148)

②パケットを選択して、右クリックで
「フィルタとして適用」>「適用済」としても、フィルタができる。フィルタしたい項目（たとえば、宛先IPなのか、送信元IPなのか。プロトコルではできなかった）で右クリックするとよい。
・フィルタに関しては、フィルタしたい項目を右クリックで「フィルタに適用」をすると、構文が出てくるので参考にするといいと思う。
・また、右クリックで「フィルタに適用」するときに、「and selected」や「or selected」があるので、ANDやOR構文を忘れたときにはこれを参考にするといい。
・正規表現というか、文字列を含む検索もできる。その場合はcontainsを使う
http.authbasic contains abc

③tcp.port==80とHTTPはどう違うのか
HTTPを検索したいのに、うまく出てこない場合がある。それは、たとえば、3wayハンドシエークはTCPだが、実際の通信はHTTPで表示されるからである。なので、この場合は送信元IPで検索したり、TCPのポート80で検索した方がいい場合もある。（例は以下）
tcp.port == 80 || udp.port == 80
まあ、tcp.port==80の方が、より多くのパケットを取得できると考えよう。
以下、同じパケットを比較した結果。tcp.port == 80の方が、表示される項目が明らかに多い。

③その他
・フィルタの右にある×でフィルタの解除ができる。

④事前にフィルタ
・この画面でフィルタするのではなく、事前にフィルタの設定ができる。ただし、構文が変わるので注意。たとえば、192.168.0.7のIPからの通信だけをフィルタするには、以下とする。
host 192.168.0.7
※このとき、該当のIFをクリックしてスタートすることを忘れないように。

（４）追跡（TCPストリーム）
TCPの通信は、3wayハンドシエークから始まり、一つのコネクションを確立する。その一連の通信を確認する方法だ。これであれば、パケットがあちこち行かずにまとめて見えるので、見やすい。→たしか、ポート番号を含むTCPコネクション情報でひとまとまりにしているはずだ。
方法は、パケットを選択して右クリック、「追跡」>「TCPストリーム」である。
これがすごいのは、普通のHTTPは難しいが、FTPで通信した様子などは、きれいに表示してくれる。
このとき、右下にストリーム番号が表示され、一つ一つ順番にHTMLファイルなどを表示してくれる。これで、データをじっくり見るといいだろう。

・また、添付ファイルがある通信をまとめて、RAW形式（生データ）で保存すれば、ファイルを復元も可能だ。
以下のページにあるが、2.zipというファイルを復元している様子が書かれてある。すごい！
https://book.mynavi.jp/manatee/detail/id=64023

（５）ファイルの出力
ファイル＞オブジェクトをエクスポート　から行える
HTTPなどで実施すると、ファイルがそのまま取得できるからすごい。
imfだとメールの復元が可能。→先にimfでフィルタして、メールの復元も可能である。

（６）その他
・IPアドレスの一覧
「統計（Statistics）」＞「Conversions」で、イーサネットヘッダおよびIPアドレスの一覧が見える。

・プロトコルの一覧
「「統計（Statistics）」＞「プロトコル階層（Protocol Hierarchy)」

スポンサードリンク

ネットワークスペシャリスト - SE娘の剣 -

Wiresharkの使い方

コメント

ネットワークスペシャリスト - SE娘の剣 -

「7.2 パケットキャプチャ」カテゴリの最新記事

コメント