Wiresharkの基本的で簡単な使い方(3分で学べる)

Wiresharkは便利なソフトウェアです。ネットワークの勉強、ネットワーク障害の情報収集などいろいろな場面で活躍してくれます。

そんなWiresharkですが、いまいち使い方がわかりません。メモの意味も含めて、ここで基本的な使い方をまとめていきたいと思います。

注意インストール方法などは割愛させていただきます。

Wiresharkとは

まず、そもそもWiresharkとはなにか?

ネットワークに流れるデータ(パケット)をキャプチャ(記録・保存)するためのソフトウェアです。おもにネットワークのトラブル解決に利用されています。なんでも屋であることが多い社内SEにとっては、必須のソフトウェアなのではないでしょうか。

基本的な使い方

パケットをキャプチャするには

まずはプロミスキャスモードをONにします。これは、自分の端末以外を宛先としたパケット(ブロードキャストパケット)を無視しないための設定となります。これをONにすることで、届いたパケットを一旦処理するようになり、自分の端末宛て以外のパケットもキャプチャできるようになります。

メモ自分の端末宛てのパケットのみキャプチャしたい場合は、逆にOFFにする必要があります。デフォルトではチェックがついています。

1.[キャプチャ]-[オプション]を選択します。

2.[プロミスキャス]列のチェックを確認します。

表示フィルタ

キャプチャした結果から、特定のパケットのみに絞り込むための機能です。パケットはものすごい勢いと量でキャプチャされるので、この機能を利用することで目的のパケットのみ表示させることができます。

画面上部にある[Filter]欄に構文を入力することで利用できます。よく利用する構文を下記表に示します。

構文 表示する内容
ip.addr == xxx.xxx.xxx.xxx 送信元または宛先IPアドレスがxxx.xxx.xxx.xxxのパケット
ip.addr == xxx.xxx.xxx.xxx && ip.addr == 〇〇〇.〇〇〇.〇〇〇.〇〇 IPアドレスがxxx.xxx.xxx.xxxと〇〇〇.〇〇〇.〇〇〇間の通信
ip.src == xxx.xxx.xxx.0/24 送信元IPアドレスがxxx.xxx.xxx.0/24のパケット
ftp ftpプロトコル
ftp or http ftpまたはhttpプロトコル
tcp.port == 25 ポート25(TCP)のパケット
tcp.srcport == 25 送信元ポートが25のパケット
tcp.dstport == 25 宛先ポートが25のパケット
tcp.port < 1024 ポート番号が1024(TCP)未満のパケット
tcp.flags.ack ACKフラグが立っているTCPパケット
tcp.flags.reset リセットフラグが立っているTCPパケット
http.request HTTP要求
(http.request.method == “POST”)||(http.request.method == “GET”) HTTP要求のGETまたはPOSTメソッド
tcp contains traffic 「traffic」という文字列を含むTCPパケット
not ftp FTP通信を含まない
!(arp or icmp or ftp) 指定したプロトコルを表示しない

キャプチャフィルタ

特定のパケットのみ取得します。パケットはすべて取得すると膨大な量になるので、この機能を利用することでログサイズの圧縮などの効果が期待できます。

「表示フィルタ」との違いが紛らわしいですが、「表示フィルタ」は全パケットを取得し、目的のパケットだけを表示します。「キャプチャフィルタ」は指定したパケットのみを取得します。

1.[キャプチャ]-[キャプチャフィルタ]を選択します。

2.適用したいフィルタを選択し、[OK]を選択します。

 

セッション全体のパケットを確認する

パケットは分割して送信されますが、セッション内での通信を把握するには、ひとつひとつの分割したパケットを見るよりも全体の流れ(ストリーム)を確認した方が効率的です。

1.[分析]-[追跡]-[TCP/UDB/HTTP/TLSストリーム]

最後に

いかがでしょうか。ここで紹介させていただいた機能が使えれば、簡単なトラブル解析はできるようになるのではないでしょうか。

本記事は、「ハッキング・ラボのつくりかた」という書籍を参考にさせていただきました。社内SEや、そのなかでもとくにセキュリティについてご興味のある方にとっては非常に良書だと思います。ぜひお手にとってみてください。

 

タイトルとURLをコピーしました