tag:crieit.net,2005:https://crieit.net/tags/Wireshark/feed
「Wireshark」の記事 - Crieit
Crieitでタグ「Wireshark」に投稿された最近の記事
2021-05-06T14:46:31+09:00
https://crieit.net/tags/Wireshark/feed
tag:crieit.net,2005:PublicArticle/17067
2021-05-06T14:46:31+09:00
2021-05-06T14:46:31+09:00
https://crieit.net/posts/Wireshark-609382b7baafe
Wiresharkについて
<h1 id="Wiresharkとは"><a href="#Wireshark%E3%81%A8%E3%81%AF">Wiresharkとは</a></h1>
<p>データ通信の動きが見れるやつ</p>
tobara
tag:crieit.net,2005:PublicArticle/17051
2021-05-03T02:32:50+09:00
2021-05-03T02:38:22+09:00
https://crieit.net/posts/02
🐈【ネコでもわかる02】パケット解析初級編
<p>``<br />
今回はWiresharkを用いた<strong>パケットキャプチャ</strong>の際に役立つミニ情報ねこ~!<br />
正直、0から説明すると、<em>ちんぷんかんぷんきんぎょ&つまんにゃい^._.^= ∫</em>になるので、<br />
かいつまんで説明するぎょぴ~(技術ブログ(?)としていいのかこれは…)</p>
<hr />
<p><strong>v目次にゃv</strong></p>
<ol>
<li>EthernetⅡヘッダ</li>
<li>IPv4ヘッダ</li>
</ol>
<hr />
<p><strong>EthernetⅡヘッダ</strong><br />
EthernetⅡヘッダは「<strong>ネットワーク上を流れるデータの中身の一部で、イーサネットってお約束事で使う情報が書かれている部分のこと</strong>」を表しているねこ~<br />
詳しくは<a target="_blank" rel="nofollow noopener" href="https://wa3.i-3-i.info/word12595.html">こちらのサイト</a>が分かりやすく解説してるので是非読んで欲しいきんぎょ~。</p>
<p>[WiresharkでのEthernetⅡヘッダ詳細]<br />
<a href="https://crieit.now.sh/upload_images/78ebb8ebae10bf0209d4b63ef93dfa1d608ecedde56a2.png" target="_blank" rel="nofollow noopener"><img src="https://crieit.now.sh/upload_images/78ebb8ebae10bf0209d4b63ef93dfa1d608ecedde56a2.png?mw=700" alt="さめ1" /></a><br />
※諸事情により、一部黒入れしています。</p>
<p>順番に説明していくぎょぴぼー。</p>
<h6 id="①EthernetⅡヘッダ"><a href="#%E2%91%A0Ethernet%E2%85%A1%E3%83%98%E3%83%83%E3%83%80">①EthernetⅡヘッダ</a></h6>
<p>ここがEthernetⅡフレームぎょぴ~。ここから詳しくみていくきんぎょ。</p>
<h6 id="②Destination: mac:2d:1a:c3 (0a:1b:3c:2d:1a:c3)"><a href="#%E2%91%A1Destination%3A+mac%3A2d%3A1a%3Ac3+%280a%3A1b%3A3c%3A2d%3A1a%3Ac3%29">②Destination: mac:2d:1a:c3 (0a:1b:3c:2d:1a:c3)</a></h6>
<p>Destinationは直訳すると<strong>宛先</strong>って意味ねこよ。つまり、<strong>このパケットがどこに向けて送られているのか表している</strong>キツネ🦊<br />
(宛先のLANカード(NIC)が表示されているぎょぴ。LANカード指定には個別にあらかじめ設定されているMACアドレスを用いるねこよ。)</p>
<h6 id="③mac:2b:cf:04"><a href="#%E2%91%A2mac%3A2b%3Acf%3A04">③mac:2b:cf:04</a></h6>
<p><strong>MACアドレスが表示されている</strong>きんぎょ。どのPC(機器)へ送るのか識別できるのがMACアドレスだったねこね。<br />
MACアドレスは<strong>6バイト</strong>、うち<strong>前半3バイトがベンダ番号</strong>。<strong>後半3バイトは機器を識別する用のユニークな番号</strong>が充てられているねこ~。<br />
※黒塗”Mac”はベンダ番号より解読したベンダー名が入るよ(HP、Dell、Lenovoみたいな感じ)</p>
<h6 id="④1a:2b:3c:2d:1a:c3"><a href="#%E2%91%A31a%3A2b%3A3c%3A2d%3A1a%3Ac3">④1a:2b:3c:2d:1a:c3</a></h6>
<p>これは③で挙げた<strong>ベンダー名をベンダー番号で表記</strong>してるにゃ🐱</p>
<h6 id="⑤.... ..0. .... .... .... ...."><a href="#%E2%91%A4....+..0.%E3%80%80....+....+....+....">⑤.... ..0. .... .... .... ....</a></h6>
<p>これは<strong>2進数でMACアドレスを表している</strong>ねこ~。ただし、今回は<strong>7ビット目(左から7番目)に注目</strong>して欲しいので、<strong>7ビット目</strong>に"<strong>0</strong>"、他は"<strong>.</strong>"(ドット)で表記されているのニャー。<br />
併せて⑦も解説するねこよ。<br />
.... ..0. .... .... .... .... = LG bit:<br />
”<em>=</em>”で<strong>左辺の0</strong>と<strong>右辺のLG bit</strong> を「<strong>この2つは同じ意味ですよ~</strong>」と示しているにゃ~。</p>
<h6 id="⑦LG bit:"><a href="#%E2%91%A6LG+bit%3A">⑦LG bit:</a></h6>
<p><strong>7ビット目にLG bit</strong>があることにより、<strong>もともと付与されたアドレスとは別のローカルアドレスかどうかを確認できる</strong>ネコ。今回は<strong>0</strong>が入り、「Globally unique address (factory default)」と表記されてるネコね。これは「工場出荷時のアドレス」すなわち、「<strong>もともと付与されているアドレス</strong>」を使用しているって意味きんぎょね。</p>
<h6 id="⑥⑧.... ...0 .... .... .... .... = IG bit Individual address (unicast)"><a href="#%E2%91%A5%E2%91%A7....+...0+....+....+....+....+%3D+IG+bit+Individual+address+%28unicast%29">⑥⑧.... ...0 .... .... .... .... = IG bit Individual address (unicast)</a></h6>
<p>これも<strong>2進数でMACアドレス</strong>を表しているねこ~。ただし、今回は<strong>8ビット目(左から8番目)に注目</strong>して欲しいので、<strong>8ビット目</strong>に"<strong>0</strong>"、他は"<strong>.</strong>"(ドット)で表記されているのニャー。</p>
<h6 id="⑧IG bit"><a href="#%E2%91%A7IG+bit">⑧IG bit</a></h6>
<p><strong>8ビット目、IG bit</strong>は<strong>マルチキャスト通信</strong>なのか、<strong>ユニキャスト通信</strong>なのか分かるきんぎょ。<br />
今回は<strong>0</strong>が入り、「Individual address (unicast)」と表示されているねこ。つまり<strong>ユニキャスト通信</strong>をしているきんぎょね🐠</p>
<hr />
<p><strong>IPv4ヘッダ</strong><br />
<strong>ネットワーク上を流れるデータの中身の一部で、IPってお約束事で使う情報が書かれている部分</strong>のこときんぎょ。<br />
詳しくは<a target="_blank" rel="nofollow noopener" href="https://wa3.i-3-i.info/word12597.html">例のサイト</a>が分かりやすく解説してるので是非読んで欲しいきんぎょ~。</p>
<p>[WiresharkでのIPv4ヘッダ詳細]<br />
<a href="https://crieit.now.sh/upload_images/946bf29b3279f1ffc85c7336464df739608edad202483.png" target="_blank" rel="nofollow noopener"><img src="https://crieit.now.sh/upload_images/946bf29b3279f1ffc85c7336464df739608edad202483.png?mw=700" alt="さめ2" /></a></p>
<h6 id="①Source : mac:2b:cf:04"><a href="#%E2%91%A0Source+%3A+mac%3A2b%3Acf%3A04">①Source : mac:2b:cf:04</a></h6>
<p>これは<strong>送り元のMACアドレス</strong>を表しているのにゃ。</p>
<h6 id="②Type: IPv4 (0x0800)"><a href="#%E2%91%A1Type%3A+IPv4+%280x0800%29">②Type: IPv4 (0x0800)</a></h6>
<p>これはイーサタイプと呼ばれ、EthernetⅡの後に続くヘッダ形式を指定しているぎょぴ。<br />
ちなみに”<strong>0x</strong>”は「<strong>後に続く文字は16進法を使っているよ</strong>」って意味ぎょぴぼー。</p>
<h6 id="③ 0100 .... =Version: 4"><a href="#%E2%91%A2+0100+....+%3DVersion%3A+4">③ 0100 .... =Version: 4</a></h6>
<p><strong>IPのバージョンが分かる</strong>のニャー。今回は<strong>4</strong>。つまり<strong>バージョン4</strong>が使われているねこ。</p>
<h6 id="④Src:192.168.1.20"><a href="#%E2%91%A3Src%3A192.168.1.20">④Src:192.168.1.20</a></h6>
<p><strong>SrcはSourceの略</strong>ねこ。つまり<strong>送り元</strong>を表しているキツネ。<br />
今回は<strong>送り元IPアドレス</strong>だニャー。</p>
<h6 id="⑤Dst:192.168.1.10"><a href="#%E2%91%A4Dst%3A192.168.1.10">⑤Dst:192.168.1.10</a></h6>
<p><strong>DstはDestinationの略</strong>ねこ。もちろん、みんなはもうわかるきんぎょ??<br />
そう!<strong>送り先IPアドレス</strong>を表しているぎょぴー。</p>
<hr />
<p>今日はここまで🐾<br />
この記事を読んでくださった皆様は、パケットを見た際に<br />
「<strong>ふむふむ。送り先は○○で宛先は○○か…送り方式はユニキャスト?マルチ?はたまたブロードキャスト?</strong>」<br />
みたくパケット解析ができるようになっているはずですよp(*≧ω≦)/</p>
<p>これからも頑張るきんぎょー</p>
<p>/<em>21-05-3追記</em>/<br />
めちゃんこ見づらいにゃ…行間隔や色合い等々スキルを上げねばと反省してますきんぎょ。<br />
``</p>
keito_woood
tag:crieit.net,2005:PublicArticle/16412
2020-12-23T22:02:48+09:00
2020-12-23T22:02:48+09:00
https://crieit.net/posts/Wireshark
Wiresharkの基本
<h3 id="Wiresharkとは"><a href="#Wireshark%E3%81%A8%E3%81%AF">Wiresharkとは</a></h3>
<p>Wiresharkはネットワークの解析ソフトウェアの名前。<br />
近年様々な業界でIT化が推進されている為、どの業界でもエンジニアには必須となりつつある(のかもしれない)…</p>
<h5 id="実行環境"><a href="#%E5%AE%9F%E8%A1%8C%E7%92%B0%E5%A2%83">実行環境</a></h5>
<ul>
<li>OS・・・・・・・・・・・・Windows10 Pro</li>
<li>Wireshark Version・・・・・3.4.0</li>
</ul>
<h5 id="Wiresharkの基本操作"><a href="#Wireshark%E3%81%AE%E5%9F%BA%E6%9C%AC%E6%93%8D%E4%BD%9C">Wiresharkの基本操作</a></h5>
<ul>
<li>キャプチャを開始する<br />
Wiresharkを起動すると下記の画面が表示される。<br />
キャプチャの開始方法は次の通り<br />
<a href="https://crieit.now.sh/upload_images/83faef344aee0abca06a7aab0e346e765fe33ece3f647.png" target="_blank" rel="nofollow noopener"><img src="https://crieit.now.sh/upload_images/83faef344aee0abca06a7aab0e346e765fe33ece3f647.png?mw=700" alt="image" /></a></li>
</ul>
<p>①インターフェースを直接選択する<br />
この欄にはWiresharkが自動的に読み込んだインターフェースの一覧が表示<br />
される。<br />
表示されているインターフェースをダブルクリックすると、<br />
そのインターフェースの通信をキャプチャする。</p>
<p>②メニューバーから選択する<br />
メニューバーから、「キャプチャ」→「オプション」と選択すると、<br />
インターフェースの一覧が表示される。<br />
ここではNICの動作選択でプロミスキャスモードのON/OFFができるので、<br />
変更が必要な場合はここから開始すると良い。<br />
※プロミスキャスモードとは・・・同一ネットワーク内のパケットを<br />
全て受信して読み込むモード。<br />
公共のネットワークなどで行うのはクラッキング行為とみなされるので注意</p>
<p>③ツールバーから選択する<br />
ツールバーの「キャプチャオプション」を選択すると②と同じウィンドウが開く。</p>
<p>④プロトコルでフィルターを掛ける<br />
キャプチャを開始すると、選択したインターフェース上を流れる全ての通信が延々と表示・更新され<br />
続ける。<br />
キャプチャしたいプロトコルが決まっている場合、「表示フィルター」にプロトコル名を入力して、<br />
フィルターを有効化する。</p>
<ul>
<li><p>キャプチャを停止する<br />
<a href="https://crieit.now.sh/upload_images/1bf1fbfafafb5226bdd22e187ee049795fe29925e8ccb.png" target="_blank" rel="nofollow noopener"><img src="https://crieit.now.sh/upload_images/1bf1fbfafafb5226bdd22e187ee049795fe29925e8ccb.png?mw=700" alt="image" /></a><br />
①ツールバーの「パケットキャプチャを停止します」を選択すると、パケットのキャプチャを停止する。<br />
キャプチャしている限り画面は常に更新し続けるため、必要なデータがとれたらキャプチャを停止して<br />
からパケット解析をすると良い。</p></li>
<li><p>キャプチャの読み取り方<br />
<a href="https://crieit.now.sh/upload_images/07c48ae5f6b52cae3d65af35d040ff915fe303b282e23.png" target="_blank" rel="nofollow noopener"><img src="https://crieit.now.sh/upload_images/07c48ae5f6b52cae3d65af35d040ff915fe303b282e23.png?mw=700" alt="image" /></a></p></li>
</ul>
<p>①【No.】<br />
キャプチャされた順番。No.の値が大きいほど最新のパケット情報を表す。</p>
<p>②【Time】<br />
Wiresharkでキャプチャを開始してから経過した時間を表す。</p>
<p>③【Source】<br />
通信の送信元情報。MACアドレスだったり、IPアドレスだったりする。<br />
※表示されるMACアドレスは、メニューバーから「表示」→「名前解決」の<br />
「物理アドレスを解決」にチェックが入っていると、ベンダーコード(MACアドレス上位の6桁)を<br />
文字列に変換してくれる。<br />
例としてはApple_xx:xx:xxやBuffalo_xx:xx:xxといった感じ。</p>
<p>④【Destination】<br />
通信の宛先情報。③と同じくMACアドレスやIPアドレスが表示される。<br />
ブロードキャスト通信だった場合、「名前解決」機能でBroadcast表記される。</p>
<p>⑤【Protocol】<br />
その通信で扱っている通信プロトコルを表示する。</p>
<p>⑥【Length】<br />
その通信のフレーム長を表示する。単位は[byte]</p>
<p>⑦【Info】<br />
通信内容に関するインフォメーション。<br />
例)ICMPのエコー要求、HTTPのGETメソッド</p>
<p>⑧【パケット詳細ペイン】<br />
通信の詳細情報を表示する。<br />
この図だと、上から順にEthernetフレーム、Ethernetヘッダ、ARPヘッダを表示している。<br />
各項目の左側にある「>」マークをクリックすると、そのフレーム・ヘッダ情報を<br />
詳しく見ることができる。</p>
Nata