Wiresharkでパケットを読み取る方法

多くのIT専門家にとって、Wiresharkはネットワークパケット分析の頼りになるツールです。オープンソースソフトウェアを使用すると、収集したデータを綿密に調べて、問題の原因をより正確に特定できます。さらに、Wiresharkはリアルタイムで動作し、色分けを使用して、キャプチャされたパケットを表示します。

このチュートリアルでは、Wiresharkを使用してパケットをキャプチャ、読み取り、フィルタリングする方法について説明します。以下に、基本的なネットワーク分析機能の詳細な手順と内訳を示します。これらの基本的な手順をマスターすると、ネットワークのトラフィックフローを検査し、問題をより効率的にトラブルシューティングできるようになります。

パケットの分析

パケットがキャプチャされると、Wiresharkは非常に読みやすい詳細なパケットリストペインにパケットを整理します。単一のパケットに関する情報にアクセスする場合は、リストでそのパケットを見つけてクリックするだけです。ツリーをさらに展開して、パケットに含まれる各プロトコルの詳細にアクセスすることもできます。

より包括的な概要については、キャプチャされた各パケットを個別のウィンドウに表示できます。方法は次のとおりです。

黒いバーを取り除く方法 csgo

1. リストからカーソルでパケットを選択し、右クリックします。
   
2. 上のツールバーから[表示]タブを開きます。
   
3. ドロップダウンメニューから[新しいウィンドウにパケットを表示]を選択します。
   

注：キャプチャされたパケットを別々のウィンドウに表示すると、比較がはるかに簡単になります。

前述のように、Wiresharkはデータの視覚化に色分けシステムを使用しています。各パケットは、さまざまなタイプのトラフィックを表すさまざまな色でマークされています。たとえば、TCPトラフィックは通常青で強調表示され、黒はエラーを含むパケットを示すために使用されます。

もちろん、各色の背後にある意味を覚える必要はありません。代わりに、その場で確認できます。

1. 調べたいパケットを右クリックします。
   
2. 画面上部のツールバーから[表示]タブを選択します。
   
3. ドロップダウンパネルから[カラーリングルール]を選択します。
   

好みに合わせて色付けをカスタマイズするオプションが表示されます。ただし、カラーリングルールを一時的に変更するだけの場合は、次の手順に従ってください。

1. パケットリストペインでパケットを右クリックします。
2. オプションのリストから、[フィルターで色付け]を選択します。
   
3. ラベルを付ける色を選択します。
   

番号

パケットリストペインには、キャプチャされたデータビットの正確な数が表示されます。パケットは複数の列に編成されているため、解釈はかなり簡単です。デフォルトのカテゴリは次のとおりです。

• 番号（数）：前述のように、この列でキャプチャされたパケットの正確な数を確認できます。データをフィルタリングした後でも、数字は同じままです。
• 時間：ご想像のとおり、パケットのタイムスタンプがここに表示されます。
• ソース：パケットの発信元を示します。
• 宛先：パケットが保管される場所を示します。
• プロトコル：プロトコルの名前を、通常は省略形で表示します。
• 長さ：キャプチャされたパケットに含まれるバイト数を示します。
• 情報：この列には、特定のパケットに関する追加情報が含まれています。

時間

Wiresharkがネットワークトラフィックを分析すると、キャプチャされた各パッケージにタイムスタンプが付けられます。タイムスタンプはパケットリストペインに含まれ、後で検査できるようになります。

Wiresharkはタイムスタンプ自体を作成しません。代わりに、アナライザーツールはNpcapライブラリからそれらを取得します。ただし、タイムスタンプのソースは実際にはカーネルです。そのため、タイムスタンプの精度はファイルごとに異なる可能性があります。

タイムスタンプがパケットリストに表示される形式を選択できます。さらに、表示する優先精度または小数点以下の桁数を設定できます。デフォルトの精度設定とは別に、次のものもあります。

• 秒
• 10分の1秒
• 100分の1秒
• ミリ秒
• マイクロ秒
• ナノ秒

ソース

名前が示すように、パケットの送信元は発信元です。 Wiresharkリポジトリのソースコードを取得する場合は、Gitクライアントを使用してダウンロードできます。ただし、この方法ではGitLabアカウントが必要です。なくても可能ですが、万が一の場合に備えて登録することをお勧めします。

アカウントを登録したら、次の手順に従います。

1. 次のコマンドを使用して、Gitが機能していることを確認します：$ git -–version.
   
2. メールアドレスとユーザー名が設定されているかどうかを再確認してください。
3. 次に、Worksharkソースのクローンを作成します。 $ git clone -o upstream [email protected]:wireshark/wireshark.git を使用しますコピーを作成するためのSSHURL。
4. GitLabアカウントをお持ちでない場合は、HTTPS URLをお試しください：$ git clone -o upstream https://gitlab.com/wireshark/wireshark.git .
   

その後、すべてのソースがデバイスにコピーされます。特にネットワーク接続が遅い場合は、クローン作成に時間がかかる場合があることに注意してください。

行き先

特定のパケットの宛先のIPアドレスを知りたい場合は、表示フィルターを使用してそのパケットを見つけることができます。方法は次のとおりです。

1. ip.addr == 8.8.8.8と入力しますWiresharkフィルターボックスに入れます。次に、Enterをクリックします。
   
2. パケットリストペインは、パケットの宛先を表示するためにのみ再構成されます。リストをスクロールして、関心のあるIPアドレスを見つけます。
   
3. 完了したら、ツールバーから[クリア]を選択して、パケットリストペインを再構成します。

プロトコル

プロトコルは、同じネットワークに接続されている異なるデバイス間のデータ伝送を決定するガイドラインです。各Wiresharkパケットにはプロトコルが含まれており、表示フィルターを使用してプロトコルを起動できます。方法は次のとおりです。

1. Wiresharkウィンドウの上部にある[フィルター]ダイアログボックスをクリックします。
2. 調べたいプロトコルの名前を入力します。通常、プロトコルのタイトルは小文字で書かれています。
3. [Enter]または[Apply]をクリックして、表示フィルターを有効にします。

長さ

Wiresharkパケットの長さは、その特定のネットワークスニペットでキャプチャされたバイト数によって決まります。その数は通常、Wiresharkウィンドウの下部にリストされている生データのバイト数に対応します。

長さの分布を調べる場合は、[パケット長]ウィンドウを開きます。すべての情報は次の列に分かれています。

• パケット長
• カウント
• 平均
• 最小値/最大値
• 割合
• パーセント
• バースト率
• バーストスタート

情報

特定のキャプチャされたパケット内に異常または同様のアイテムがある場合、Wiresharkはそれを記録します。情報は、さらに調査するためにパケットリストペインに表示されます。そうすることで、非定型のネットワーク動作を明確に把握できるようになり、より迅速な対応が可能になります。

追加のFAQ

パケットデータをフィルタリングするにはどうすればよいですか？

フィルタリングは、特定のデータシーケンスの詳細を調べることができる効率的な機能です。 Wiresharkフィルタには、キャプチャと表示の2種類があります。キャプチャフィルタは、特定の要求に合うようにパケットキャプチャを制限するためにあります。つまり、キャプチャフィルタを適用することで、さまざまなタイプのトラフィックをふるいにかけることができます。名前が示すように、表示フィルターを使用すると、パケットの長さからプロトコルまで、パケットの特定の要素に焦点を当てることができます。

フィルタの適用は非常に簡単なプロセスです。 Wiresharkウィンドウの上部にあるダイアログボックスにフィルタータイトルを入力できます。さらに、ソフトウェアは通常、フィルターの名前をオートコンプリートします。

または、デフォルトのWiresharkフィルタを使用する場合は、次の手順を実行します。

1.Wiresharkウィンドウの上部にあるツールバーの[分析]タブを開きます。

ファイアスティックでお気に入りを削除する方法

2.ドロップダウンリストから、[フィルターの表示]を選択します。

3.リストを参照して、適用するリストをクリックします。

最後に、便利な一般的なWiresharkフィルターをいくつか示します。

•送信元と宛先のIPアドレスのみを表示するには、次を使用します：ip.src==IP-address and ip.dst==IP-address

•SMTPトラフィックのみを表示するには、次のように入力します。tcp.port eq 25

•すべてのサブネットトラフィックをキャプチャするには、以下を適用します：net 192.168.0.0/24

•ARPおよびDNSトラフィック以外のすべてをキャプチャするには、次を使用します。port not 53 and not arp

Wiresharkでパケットデータをキャプチャするにはどうすればよいですか？

Wiresharkをデバイスにダウンロードしたら、ネットワーク接続の監視を開始できます。包括的な分析のためにデータパケットをキャプチャするには、次のことを行う必要があります。

1.Wiresharkを起動します。利用可能なネットワークのリストが表示されるので、調べたいネットワークをクリックします。トラフィックのタイプを特定する場合は、キャプチャフィルターを適用することもできます。

2.複数のネットワークを検査する場合は、Shift +左クリックコントロールを使用します。

3.次に、上のツールバーの左端のサメのひれのアイコンをクリックします。

4. [キャプチャ]タブをクリックし、ドロップダウンリストから[開始]を選択して、キャプチャを開始することもできます。

5.これを行う別の方法は、Control –Eキーストロークを使用することです。

ソフトウェアがデータを取得すると、データがパケットリストペインにリアルタイムで表示されます。

シャークバイト

Wiresharkは高度なネットワークアナライザですが、驚くほど簡単に解釈できます。パケットリストペインは非常に包括的でよく整理されています。すべての情報は7つの異なる色に配布され、明確なカラーコードでマークされています。

さらに、オープンソースソフトウェアには、監視を容易にする多数の簡単に適用できるフィルターが付属しています。キャプチャフィルタを有効にすることで、Wiresharkで分析するトラフィックの種類を特定できます。また、データが取得されると、指定された検索にいくつかの表示フィルターを適用できます。全体として、これは非常に効率的なメカニズムであり、習得するのはそれほど難しくありません。

ネットワーク分析にWiresharkを使用していますか？ろ過機能についてどう思いますか？スキップした便利なパケット分析機能がある場合は、以下のコメントでお知らせください。