【WireShark】パケットキャプチャとフィルタの基本的な使い方

WireShark

【WireShark】パケットキャプチャとフィルタの基本的な使い方

こんにちは!SE ブログの相馬です。

 

 

 

今回は、WireShark のパケットキャプチャとフィルタ、パケット解析も含めたの基本的な使い方について書いてみました。

 

 

この使い方に沿って WireShark を使えば、トラブルシューティングはできますので、かなり実用的かと思いますので是非覚えて頂ければと思います。

 

 

ちなみに、Wireshark の概要やインストール方法は別記事にありますので必要であれば見ていただけますと嬉しいです。

 

 

 

パケットキャプチャ

 

 

WireShark を起動した時は以下の画面が表示されます。

 

 

パケットキャプチャを行うにはどのインターフェース (ネットワークアダプタ) でキャプチャをするかを選ぶ必要があります。PC に複数のインターフェースがある場合はその分表示されます。

 

 

1. キャプチャするインターフェースを決めたら以下のようにインターフェースをクリックします。

 

 

 

2. すぐにキャプチャが始まり通信データが溢れるように表示されます。キャプチャを停止するには上のメニューの停止ボタン (サメのひれマークのすぐ右にあります) をクリックします。

 

 

 

 

キャプチャの取り方

 

 

 

上の方法でパケットキャプチャの使い方は分かりましたが、どのタイミングで使うのでしょうか。

 

 

それは、取得したいデータを取るタイミングになります。トラブルシューティングの例で言えば、PC からサーバーに通信ができない場合などです。問題の発生させる方法が確認ができていれば、パケットキャプチャを開始させてから、問題を発生させて、キャプチャを停止させるという流れになります。

 

 

 

キャプチャフィルタ

 

 

では、パケットキャプチャしたデータはどのようにフィルタするのでしょうか。ここでは簡単にいくつか例を挙げました。

 

 

 

IP アドレス

 

 

フィルタの箇所に、以下のように IP アドレスを入力します。入力した IP アドレスの通信が全て表示されます。

 

 

ip.addr == IP アドレス

 

 

 

 

Ping の通信

 

 

1. パケットキャプチャを開始します。

 

 

2. コマンドプロンプトから通信先へ Ping します。

 

 

 

3. キャプチャを停止して、以下のようにフィルタします。フィルタの検索場所に icmp と入力すれば、ICMP の通信データが全て表示されます。

 

 

 

4. 実際、解析してみると通信相手に Ping を送ってから返ってくるのが確認できます。

 

 

 

 

UDP の通信

 

 

ここでは、PC から DNS サーバーへの DNS の通信を確認してみます。DNS は UDP でやりとりするので、あえて UDP でフィルタしました。

 

 

1. パケットキャプチャを開始します。

 

 

2. nslookup コマンドで DNS サーバーにホスト名を問い合わせます。

 

 

 

3.  キャプチャを停止して、以下のようにフィルタします。フィルタの検索場所に udp と入力すれば、UDP の通信データが全て表示されます。

 

 

 

4. 実際、解析してみると通信相手に DNS クエリを送ってから結果が返ってくるのが確認できます。

 

 

 

 

フィルタの組み合わせ

 

 

以下のようにフィルタを組み合わせて入力する事ができます。

 

 

 

 

フィルタまとめ

 

 

全てではありませんが、上で挙げたフィルタを纏めてみました。

 

フィルタ条件 フィルタに入力する内容
IP アドレス ip.addr == IP アドレス
プロトコル udp, tcp, icmp 等
ポート番号 udp.port == ポート番号
ANDフィルタ ip.addr == IP アドレス && udp.port == ポート番号

ip.addr == IP アドレス AND udp.port == ポート番号

ORフィルタ ip.addr == IP アドレス || udp.port == ポート番号

ip.addr == IP アドレス OR udp.port == ポート番号

tcp.analysis.retransmission TCP の再送パケットを表示。トラブルシューティングに有効。

 

 

 

キャプチャしたデータの色

 

 

キャプチャした後に通信データのレコード毎に色が違う事に気づきましたでしょうか?これはそれぞれ意味がありますので理解しておくと良いでしょう。

 

 

1. [View] から [Coloring Rules] をクリックします。

 

 

 

2. 色について、それぞれの意味が表示されます。

 

 

 

 

まとめ

 

 

いかがでしょうか。このようにパケットキャプチャとパケットフィルタリングと解析ができるようになる事で、この方法をそっくりそのまま現場で使えますのでとても役立つかと思います。

 

 

頻繁にやる事でなければ、使う時にこの記事を見ながらやっていただければ良いでしょう。

 

 

最後までお読みいただきありがとうございました!

 

 

 

  • この記事を書いた人

そーまん

セキュリティエンジニアやってます。
ブログ歴3年。PVは月15万PV程度。
趣味はボクシング、筋トレ、登山です。
穏やかで人見知りでマイペースな人です。

人気記事

1

こんにちは!SE ブログの相馬です。       今回は、PC に適用されている GPO を確認する方法について書きました。     グループポリシー ...

2

こんにちは!SE ブログの相馬です。       今回は sysprep について、全体的に PC をセットアップする観点から書いてみました。長々と書いてあります。まずは ...

3

こんにちは!SE ブログの相馬です。       今回は、グループポリシーを使って、特定のコンピューターに対して、ドメインユーザーに Administrators 権限を ...

4

こんにちは!SE ブログの相馬です。       今回は、Windows サインイン後に一時ユーザープロファイルが読み込まれてしまった場合の解決方法について書きました。 ...

5

こんにちは!SEブログの相馬です。       今回は、ユーザープロファイルを削除する方法について書いてみました。     1 台の PC を複数人で ...

6

こんにちは!SE ブログの相馬です。       今回は、繰り返し文について書いてみました。PowerShell では他のプログラミング言語同様、繰り返し処理を行うことが ...

7

コマンドを使って CPU とメモリの使用率をデータで取得してみましたので、例えば PC のトラブルシューティングで問題を再現させる際にデータを取得しておくと、原因の特定に役立つ場合があるかと思います。

8

既存の PC と同じ構成で別のメーカーの PC でマスターイメージを作る際、インストールされているアプリを同一にする為に必要になるかと思います。

9

企業で多くの GPO が適用されている環境では、PC に GPO が適用されなかったりする問題が発生する場合があるかと思います。その中でも、コンピューターの構成またはユーザーの構成のどちらかで、...

10

こんにちは!SE ブログの相馬です。       今回は、Windows Server 2016 で NTP サーバーと同期する方法について書きました。   & ...

-WireShark
-