「Wireshark」の記事 - Crieit

Wiresharkについて

2021-05-06T14:46:31+09:00

Wiresharkとは

データ通信の動きが見れるやつ

🐈【ネコでもわかる02】パケット解析初級編

2021-05-03T02:32:50+09:00

``
今回はWiresharkを用いたパケットキャプチャの際に役立つミニ情報ねこ～！
正直、０から説明すると、ちんぷんかんぷんきんぎょ＆つまんにゃい^._.^= ∫になるので、
かいつまんで説明するぎょぴ～（技術ブログ（?）としていいのかこれは…）

v目次にゃv

EthernetⅡヘッダ
IPv4ヘッダ

EthernetⅡヘッダ
EthernetⅡヘッダは「ネットワーク上を流れるデータの中身の一部で、イーサネットってお約束事で使う情報が書かれている部分のこと」を表しているねこ～
詳しくはこちらのサイトが分かりやすく解説してるので是非読んで欲しいきんぎょ～。

[WiresharkでのEthernetⅡヘッダ詳細]

※諸事情により、一部黒入れしています。

順番に説明していくぎょぴぼー。

②Destination: mac:2d:1a:c3 (0a:1b:3c:2d:1a:c3)

Destinationは直訳すると宛先って意味ねこよ。つまり、このパケットがどこに向けて送られているのか表しているキツネ🦊
（宛先のLANカード（NIC）が表示されているぎょぴ。LANカード指定には個別にあらかじめ設定されているMACアドレスを用いるねこよ。）

③mac:2b:cf:04

MACアドレスが表示されているきんぎょ。どのPC（機器）へ送るのか識別できるのがMACアドレスだったねこね。
MACアドレスは6バイト、うち前半3バイトがベンダ番号。後半3バイトは機器を識別する用のユニークな番号が充てられているねこ～。
※黒塗”Mac”はベンダ番号より解読したベンダー名が入るよ（HP、Dell、Lenovoみたいな感じ）

⑤.... ..0.　.... .... .... ....

これは2進数でMACアドレスを表しているねこ～。ただし、今回は7ビット目（左から7番目）に注目して欲しいので、7ビット目に"0"、他は"."（ドット）で表記されているのニャー。
併せて⑦も解説するねこよ。
.... ..0.　.... .... .... ....　= LG bit:
”＝”で左辺の0と右辺のLG bit を「この2つは同じ意味ですよ～」と示しているにゃ～。

⑦LG bit:

7ビット目にLG bitがあることにより、もともと付与されたアドレスとは別のローカルアドレスかどうかを確認できるネコ。今回は0が入り、「Globally unique address (factory default)」と表記されてるネコね。これは「工場出荷時のアドレス」すなわち、「もともと付与されているアドレス」を使用しているって意味きんぎょね。

⑥⑧.... ...0 .... .... .... .... = IG bit Individual address (unicast)

これも2進数でMACアドレスを表しているねこ～。ただし、今回は8ビット目（左から8番目）に注目して欲しいので、8ビット目に"0"、他は"."（ドット）で表記されているのニャー。

⑧IG bit

8ビット目、IG bitはマルチキャスト通信なのか、ユニキャスト通信なのか分かるきんぎょ。
今回は0が入り、「Individual address (unicast)」と表示されているねこ。つまりユニキャスト通信をしているきんぎょね🐠

IPv4ヘッダ
ネットワーク上を流れるデータの中身の一部で、IPってお約束事で使う情報が書かれている部分のこときんぎょ。
詳しくは例のサイトが分かりやすく解説してるので是非読んで欲しいきんぎょ～。

[WiresharkでのIPv4ヘッダ詳細]

①Source : mac:2b:cf:04

これは送り元のMACアドレスを表しているのにゃ。

②Type: IPv4 (0x0800)

これはイーサタイプと呼ばれ、EthernetⅡの後に続くヘッダ形式を指定しているぎょぴ。
ちなみに”0x”は「後に続く文字は16進法を使っているよ」って意味ぎょぴぼー。

③ 0100 .... =Version: 4

IPのバージョンが分かるのニャー。今回は4。つまりバージョン4が使われているねこ。

④Src:192.168.1.20

SrcはSourceの略ねこ。つまり送り元を表しているキツネ。
今回は送り元IPアドレスだニャー。

⑤Dst:192.168.1.10

DstはDestinationの略ねこ。もちろん、みんなはもうわかるきんぎょ？？
そう！送り先IPアドレスを表しているぎょぴー。

今日はここまで🐾
この記事を読んでくださった皆様は、パケットを見た際に
「ふむふむ。送り先は○○で宛先は○○か…送り方式はユニキャスト？マルチ？はたまたブロードキャスト？」
みたくパケット解析ができるようになっているはずですよp(*≧ω≦)/

これからも頑張るきんぎょー

/21-05-3追記/
めちゃんこ見づらいにゃ…行間隔や色合い等々スキルを上げねばと反省してますきんぎょ。
``

Wiresharkの基本

2020-12-23T22:02:48+09:00

Wiresharkとは

Wiresharkはネットワークの解析ソフトウェアの名前。
近年様々な業界でIT化が推進されている為、どの業界でもエンジニアには必須となりつつある(のかもしれない)…

実行環境

OS・・・・・・・・・・・・Windows10 Pro
Wireshark Version・・・・・3.4.0

Wiresharkの基本操作

キャプチャを開始する
Wiresharkを起動すると下記の画面が表示される。
キャプチャの開始方法は次の通り

①インターフェースを直接選択する
　この欄にはWiresharkが自動的に読み込んだインターフェースの一覧が表示
　される。
　表示されているインターフェースをダブルクリックすると、
　そのインターフェースの通信をキャプチャする。

②メニューバーから選択する
　メニューバーから、「キャプチャ」→「オプション」と選択すると、
　インターフェースの一覧が表示される。
　ここではNICの動作選択でプロミスキャスモードのON/OFFができるので、
　変更が必要な場合はここから開始すると良い。
　※プロミスキャスモードとは・・・同一ネットワーク内のパケットを
　　全て受信して読み込むモード。
　　公共のネットワークなどで行うのはクラッキング行為とみなされるので注意

③ツールバーから選択する
　ツールバーの「キャプチャオプション」を選択すると②と同じウィンドウが開く。

④プロトコルでフィルターを掛ける
　キャプチャを開始すると、選択したインターフェース上を流れる全ての通信が延々と表示・更新され
　続ける。
　キャプチャしたいプロトコルが決まっている場合、「表示フィルター」にプロトコル名を入力して、
　フィルターを有効化する。

キャプチャを停止する

①ツールバーの「パケットキャプチャを停止します」を選択すると、パケットのキャプチャを停止する。
キャプチャしている限り画面は常に更新し続けるため、必要なデータがとれたらキャプチャを停止して
からパケット解析をすると良い。
キャプチャの読み取り方

①【No.】
　キャプチャされた順番。No.の値が大きいほど最新のパケット情報を表す。

②【Time】
　Wiresharkでキャプチャを開始してから経過した時間を表す。

③【Source】
　通信の送信元情報。MACアドレスだったり、IPアドレスだったりする。
　※表示されるMACアドレスは、メニューバーから「表示」→「名前解決」の
　「物理アドレスを解決」にチェックが入っていると、ベンダーコード(MACアドレス上位の6桁)を
　文字列に変換してくれる。
　例としてはApple_xx:xx:xxやBuffalo_xx:xx:xxといった感じ。

④【Destination】
　通信の宛先情報。③と同じくMACアドレスやIPアドレスが表示される。
　ブロードキャスト通信だった場合、「名前解決」機能でBroadcast表記される。

⑤【Protocol】
　その通信で扱っている通信プロトコルを表示する。

⑥【Length】
　その通信のフレーム長を表示する。単位は[byte]

⑦【Info】
　通信内容に関するインフォメーション。
　例）ICMPのエコー要求、HTTPのGETメソッド

⑧【パケット詳細ペイン】
　通信の詳細情報を表示する。
　この図だと、上から順にEthernetフレーム、Ethernetヘッダ、ARPヘッダを表示している。
　各項目の左側にある「＞」マークをクリックすると、そのフレーム・ヘッダ情報を
　詳しく見ることができる。

「Wireshark」の記事 - Crieit

Wiresharkについて

Wiresharkとは

🐈【ネコでもわかる02】パケット解析初級編

①EthernetⅡヘッダ

②Destination: mac:2d:1a:c3 (0a:1b:3c:2d:1a:c3)

③mac:2b:cf:04

④1a:2b:3c:2d:1a:c3

⑤.... ..0.　.... .... .... ....

⑦LG bit:

⑥⑧.... ...0 .... .... .... .... = IG bit Individual address (unicast)

⑧IG bit

①Source : mac:2b:cf:04

②Type: IPv4 (0x0800)

③ 0100 .... =Version: 4

④Src:192.168.1.20

⑤Dst:192.168.1.10

Wiresharkの基本

Wiresharkとは

実行環境

Wiresharkの基本操作