Wiresharkは、ネットワーク上を行き来するデータをキャプチャして表示することができ、特定のニーズに合わせてフィルタリングされた各パケットの内容をドリルダウンして読み取ることができる無料のアプリケーションです。 ネットワークの問題のトラブルシューティングやソフトウェアの開発とテストによく使用されます。 このオープンソースのプロトコルアナライザは、業界標準として広く受け入れられており、長年にわたって公正なシェアを獲得しています。
もともとEtherealとして知られていたWiresharkは、すべての主要なネットワークタイプで数百もの異なるプロトコルのデータを表示できるユーザーフレンドリーなインターフェースを備えています。 これらのデータパケットは、 CAPまたはERFを含む数十種類のキャプチャ/トレースファイル形式をサポートして、リアルタイムで表示したり、オフラインで分析したりすることができます。 統合された復号化ツールを使用すると、 WEPやWPA / WPA2などの一般的なプロトコルの暗号化されたパケットを表示できます。
01/01
Wiresharkのダウンロードとインストール
Wiresharkは、MacOSとWindowsの両方のオペレーティングシステム用のWireshark Foundation Webサイトから無償でダウンロードできます。 上級ユーザーでない限り、最新の安定版リリースのみをダウンロードすることをお勧めします。 セットアップ処理中(Windowsのみ)、プロンプトが表示されたら、WinPcapもインストールすることを選択する必要があります。これは、ライブデータキャプチャに必要なライブラリが含まれているためです。
このアプリケーションは、Linuxやその他のほとんどのUNIXプラットフォーム( Red Hat 、Solaris、FreeBSDなど)でも利用できます。 これらのオペレーティングシステムに必要なバイナリは、サードパーティのパッケージセクションのダウンロードページの下部に表示されます。
このページからWiresharkのソースコードをダウンロードすることもできます。
02の07
データパケットをキャプチャする方法
最初にWiresharkを起動すると、上記のようなようなウェルカム画面が表示され、現在のデバイスで利用可能なネットワーク接続の一覧が表示されます。 この例では、 Bluetoothネットワーク接続 、 イーサネット 、 VirtualBoxホストオンリーネットワーク 、 Wi-Fiという接続タイプが表示されています 。 右側には、それぞれのネットワーク上のライブトラフィックを表すEKGスタイルの折れ線グラフが表示されます。
パケットのキャプチャを開始するには、まず複数のネットワークからのデータを同時に記録する場合は、選択項目をクリックし、 ShiftキーまたはCtrlキーを使用して、これらのネットワークの1つ以上を選択します。 キャプチャ目的で接続タイプが選択されると、その背景は青またはグレーのいずれかの色で表示されます。 Wiresharkインターフェイスの上部にあるメインメニューから[ キャプチャ ]をクリックします。 ドロップダウンメニューが表示されたら、[ 開始 ]オプションを選択します。
次のいずれかのショートカットを使用してパケットキャプチャを開始することもできます。
- キーボード: Ctrl + Eを押す
- マウス:ある特定のネットワークからパケットをキャプチャするには、その名前をダブルクリックします
- ツールバー: Wiresharkツールバーの一番左側にある青いシャークフィンボタンをクリックします
ライブキャプチャプロセスが開始され、パケットの詳細が記録されたときにWiresharkウィンドウに表示されます。 キャプチャを停止するには、以下のいずれかの操作を実行します。
- キーボード: Ctrl + Eを押す
- ツールバー: WiresharkツールバーのShark Finの横にある赤色の停止ボタンをクリックします
03/07
パケットの内容の表示と分析
ネットワークデータを記録したので、キャプチャされたパケットを見てみましょう。 上記のスクリーンショットに示すように、キャプチャされたデータインターフェイスには、パケットリストペイン、パケット詳細ペイン、パケットバイトペインの3つの主要セクションがあります。
パケットリスト
ウィンドウの上部にあるパケットリストペインには、アクティブなキャプチャファイルにあるすべてのパケットが表示されます。 各パケットには、それぞれのデータポイントとともに、それ自身に割り当てられた行番号と対応する番号が割り当てられています。
- 時間:パケットがキャプチャされたときのタイムスタンプがこの列に表示されます。デフォルトの形式は、この特定のキャプチャファイルが最初に作成されてからの秒数(または秒数)です。 このフォーマットを、実際の時刻など、より便利なものに変更するには、メインインターフェイスの上部にあるWiresharkの[表示 ]メニューから[ 時間表示形式 ]オプションを選択します。
- 送信元:この列には、パケットの発信元アドレス(IPまたはその他)が含まれます。
- Destination:この列には、パケットが送信されているアドレスが含まれます。
- プロトコル:この列にパケットのプロトコル名(TCP)があります。
- 長さ:この列には、パケット長(バイト単位)が表示されます。
- Info:パケットの詳細をここに示します。 この列の内容は、パケットの内容によって大きく異なる場合があります。
一番上のペインでパケットが選択されると、最初の列に1つ以上の記号が表示されます。 まっすぐな水平線だけでなく、開いているか閉じたかっこは、パケットまたはパケットのグループがすべてネットワーク上の同じ前後の会話の一部であるかどうかを示すことができます。 壊れた水平線は、パケットが前記会話の一部ではないことを意味する。
パケットの詳細
中央にある詳細ペインは、選択されたパケットのプロトコルとプロトコルフィールドを折りたたみ可能な形式で表示します。 各選択項目を展開するだけでなく、特定の詳細に基づいて個々のWiresharkフィルタを適用することも、詳細ペインで目的の項目をマウスで右クリックして、詳細コンテキストメニューを使用してプロトコルタイプに基づくデータストリームに従うこともできます。
パケットバイト数
一番下にパケットバイトペインがあり、選択したパケットの生データを16進表示で表示します。 この16進数のダンプには、16進の16バイトとデータのオフセットのあとに16バイトのASCIIバイトが含まれています。
このデータの特定の部分を選択すると、パケット詳細ペインの対応するセクションが自動的に強調表示され、その逆も同様です。 代わりに、印刷できないバイトはピリオドで表されます。
ペイン内の任意の場所を右クリックし、コンテキストメニューから適切なオプションを選択することで、このデータを16進数ではなくビット形式で表示することができます。
04/07
Wiresharkフィルタの使用
Wiresharkの最も重要なフィーチャセットの1つは、特にサイズが重要なファイルを処理する場合のフィルタ機能です。 キャプチャフィルタは事実の前に設定することができ、指定した基準を満たすパケットのみを記録するようにWiresharkに指示します。
フィルタは、特定のパケットのみが表示されるように、すでに作成されているキャプチャファイルにも適用できます。 これらは表示フィルタと呼ばれます。
Wiresharkには既定で多数の定義済みフィルタが用意されているため、わずかなキーストロークまたはマウスクリックで表示可能なパケットの数を絞り込むことができます。 これらの既存のフィルタの1つを使用するには、その名前を[ ディスプレイフィルタの適用]入力フィールド(Wiresharkツールバーのすぐ下にあります)または[ キャプチャフィルタ入力]フィールド(開始画面の中央にあります)に置きます。
これを達成するには複数の方法があります。 フィルタの名前が分かっている場合は、適切なフィールドに入力してください。 たとえば、TCPパケットを表示したければ、 tcpと入力します。 Wiresharkのオートコンプリート機能は、入力を開始するときに提案された名前を表示するので、探しているフィルタの正しいモニカを簡単に見つけることができます。
フィルターを選択する別の方法は、入力フィールドの左側にあるブックマークのようなアイコンをクリックすることです。 これにより、最も一般的に使用されるいくつかのフィルタと、 [キャプチャフィルタの管理 ]または[表示フィルタの管理 ]オプションが含まれたメニューが表示されます。 いずれかのタイプを管理することを選択した場合は、フィルタを追加、削除、または編集するためのインターフェイスが表示されます。
入力フィールドの右側にある下向き矢印を選択すると、以前に使用したフィルタにアクセスすることもできます。これには、履歴ドロップダウンリストが表示されます。
設定されると、ネットワークトラフィックの記録を開始するとすぐにキャプチャフィルタが適用されます。 ただし、表示フィルタを適用するには、入力フィールドの右端にある右矢印ボタンをクリックする必要があります。
05/07
色付けルール
Wiresharkのキャプチャフィルタとディスプレイフィルタでは、画面上に記録または表示されるパケットを制限できますが、カラー化機能は、個々の色相に基づいて異なるパケットタイプを簡単に区別できるようにすることでさらにステップを進めます。 この便利な機能により、保存されたセット内の特定のパケットを、パケットリストペインの行の配色ですばやく見つけることができます。
Wiresharkには約20のデフォルトの色付けルールが組み込まれています。 それぞれ編集、無効化、削除することができます。 また、 表示メニューからアクセス可能な色分けルールインターフェイスを使用して、新しいシェードベースのフィルタを追加することもできます。 各ルールの名前とフィルタ条件を定義することに加えて、背景色とテキスト色の両方を関連付けるよう求められます。
パケットのカラー化は、 [表示 ]メニュー内にある[ カラー化パケットリスト ]オプションを使用してオン/オフを切り替えることができます。
07年6月
統計
Wiresharkのメインウィンドウに表示されるネットワークのデータに関する詳細情報に加えて、画面の上部にある[ Statistics ]ドロップダウンメニューから他の有用なメトリックを利用できます。 これには、キャプチャファイル自体のサイズとタイミング情報、パケット会話のブレークダウンからHTTPリクエストの配布をロードするための数多くのチャートとグラフが含まれます。
表示フィルタは、個々のインターフェイスを介してこれらの統計情報の多くに適用することができ、結果はCSV 、 XML 、TXTなどの一般的なファイル形式にエクスポートできます。
07/07
高度な機能
この記事ではWiresharkの主な機能のほとんどをカバーしてきましたが、この強力なツールでは一般的に上級ユーザー向けの追加機能も用意されています。 これには、独自のプロトコル解読プログラムをLuaプログラミング言語で書く能力が含まれます。
これらの高度な機能の詳細については、Wiresharkの公式ユーザーガイドを参照してください。