Wireshark
Wiresharkは、世界的に有名なパケット解析ソフトであるEtherealの後継ソフトウェアである。
1.インストール
- http://www.wireshark.org/ にアクセスし、"Download Wireshark"をクリックする。
- OSに対応したインストーラを選ぶ必要があるため、"Stable Release" 以下の"Windows Installer (32-bit)" をクリックする。
- 各自適当な場所にダウンロードし、実行する。
- インストーラが起動するので、インストールする。基本的にはデフォルトの設定のままインストールしてよい。
- WireSharkのインストール中に、パケットキャプチャに必要なWinPcapのインストールも開始されるが、続けてインストールすること。
2.Wiresharkの使い方
2.1 パケットキャプチャ
ツールバーの1番左にあるアイコン
をクリックすると、インターフェイスの一覧が表示される。
一覧の中から、パケットをキャプチャしたいインターフェイスを選択し、startボタンを押すと、パケットのキャプチャが始まり、リアルタイムで表示される。パケットのキャプチャを終了したい場合は、stopアイコン
をクリックする。取得結果をリセットし、再度リアルタイムでキャプチャしたい場合は、
をクリックすればよい。
2.2 フィルタリング
Wiresharkは、IPアドレスや、ポート番号、プロトコルといったものを対象として、パケットフィルタリングを行うことができる。フィルタリングには、キャプチャするパケットを取捨選択するためのキャプチャフィルタと、取得したパケットの表示の絞り込みを行うディスプレイフィルタの2種類がある。
2.2.1 ディスプレイフィルタ
例として、いくつかの機能を挙げる。Filter欄に ip.addr == 192.168.1.9 と入力すれば、送信先、または受信先のIPアドレスが 192.168.1.9 であるパケットのみを表示することができる。
他のフィルタリング方法は、
- ip.src == 192.168.1.233 :送信元(Source)のIPアドレスが、192.168.1.233のパケットを表示する。
- ip.dst == 192.168.1.233 :宛先(Destination)のIPアドレスが、192.168.1.233のパケットを表示する。
- tcp.port == 80 :TCPポート番号が 80 であるパケットを表示する。
- tcp.srcport == 80 tcp.dstport == 80 :それぞれ、送信元と宛先のTCPポート番号が 80 であるパケットを表示する。
などがあり、これらの条件は、ip.dst == 192.168.1.233 and tcp.port == 80 のように、条件にandを加えることによって、複数条件でフィルタリングすることができる。
2.2.2 キャプチャフィルタ
機能を実現するためには、パケットをキャプチャしたいインターフェイスを選択する際に、optionsを選択する。
項目の中に、Capture Filter欄があるので、その中に条件を入力するか、Capture Filterボタンをクリックして、条件を選択すれば、条件に応じたフィルタリングができる。