Wiresharkの基本

Wiresharkとは

Wiresharkはネットワークの解析ソフトウェアの名前。
近年様々な業界でIT化が推進されている為、どの業界でもエンジニアには必須となりつつある(のかもしれない)…

実行環境

• OS・・・・・・・・・・・・Windows10 Pro
• Wireshark Version・・・・・3.4.0

Wiresharkの基本操作

• キャプチャを開始する
  Wiresharkを起動すると下記の画面が表示される。
  キャプチャの開始方法は次の通り
  

①インターフェースを直接選択する
　この欄にはWiresharkが自動的に読み込んだインターフェースの一覧が表示
　される。
　表示されているインターフェースをダブルクリックすると、
　そのインターフェースの通信をキャプチャする。

②メニューバーから選択する
　メニューバーから、「キャプチャ」→「オプション」と選択すると、
　インターフェースの一覧が表示される。
　ここではNICの動作選択でプロミスキャスモードのON/OFFができるので、
　変更が必要な場合はここから開始すると良い。
　※プロミスキャスモードとは・・・同一ネットワーク内のパケットを
　　全て受信して読み込むモード。
　　公共のネットワークなどで行うのはクラッキング行為とみなされるので注意

③ツールバーから選択する
　ツールバーの「キャプチャオプション」を選択すると②と同じウィンドウが開く。

④プロトコルでフィルターを掛ける
　キャプチャを開始すると、選択したインターフェース上を流れる全ての通信が延々と表示・更新され
　続ける。
　キャプチャしたいプロトコルが決まっている場合、「表示フィルター」にプロトコル名を入力して、
　フィルターを有効化する。

• キャプチャを停止する
  
  ①ツールバーの「パケットキャプチャを停止します」を選択すると、パケットのキャプチャを停止する。
  キャプチャしている限り画面は常に更新し続けるため、必要なデータがとれたらキャプチャを停止して
  からパケット解析をすると良い。

• キャプチャの読み取り方
  

①【No.】
　キャプチャされた順番。No.の値が大きいほど最新のパケット情報を表す。

②【Time】
　Wiresharkでキャプチャを開始してから経過した時間を表す。

③【Source】
　通信の送信元情報。MACアドレスだったり、IPアドレスだったりする。
　※表示されるMACアドレスは、メニューバーから「表示」→「名前解決」の
　「物理アドレスを解決」にチェックが入っていると、ベンダーコード(MACアドレス上位の6桁)を
　文字列に変換してくれる。
　例としてはApple_xx:xx:xxやBuffalo_xx:xx:xxといった感じ。

④【Destination】
　通信の宛先情報。③と同じくMACアドレスやIPアドレスが表示される。
　ブロードキャスト通信だった場合、「名前解決」機能でBroadcast表記される。

⑤【Protocol】
　その通信で扱っている通信プロトコルを表示する。

⑥【Length】
　その通信のフレーム長を表示する。単位は[byte]

⑦【Info】
　通信内容に関するインフォメーション。
　例）ICMPのエコー要求、HTTPのGETメソッド

⑧【パケット詳細ペイン】
　通信の詳細情報を表示する。
　この図だと、上から順にEthernetフレーム、Ethernetヘッダ、ARPヘッダを表示している。
　各項目の左側にある「＞」マークをクリックすると、そのフレーム・ヘッダ情報を
　詳しく見ることができる。