Wiresharkの使い方

今ではパケットキャプチャの定番とも言えるWiresharkについてインストール、実行、画面の見方からフィルタ方法、停止方法等基本的な使い方について説明しています。パケットの解析方法については次ページの「Wiresharkを使った解析」をご参照下さい。

尚、Wiresharkはバージョン2系から標準で日本語対応になりました。本ページはV2系について説明しています。旧版については「Wiresharkの使い方/V1版」をご参照下さい。

Wiresharkの概要

 Wiresharkはパケットキャプチャを行うソフトウェアです。

Wireshark1

 GPLというライセンスを採用していて、自由にダウンロードして無料で利用出来ます。

Wiresharkのダウンロード

 Wiresharkは以下で「Download」をクリックし、インストールするパソコンに該当するファイルをダウンロードします。

http://www.wireshark.org/

 Windowsにインストールする場合、通常はWindows Installerの64bit版か32bit版を選択する事になりますが、パソコンにあったファイルがデフォルトで選択されているため、そのファイルをクリックして好きな場所に保存します。

Wiresharkのインストール

 ダウンロードしたファイルをダブルクリックして実行します。ユーザーアカウント制御の画面が出たら「はい」をクリックすると以下の画面になります。

Wireshark2

 「Next>」をクリックすると以下の画面になります。

Wireshark3

 ライセンス同意画面のため「I Agree」をクリックすると以下の画面になります。

Wireshark4

 「Next>」をクリックすると以下の画面になります。

Wireshark5

 「Wireshark Start Menu Item」はタスクバーの一番左のWindowsマークから選択出来るようになるため通常はチェックしたままにします。

 「Wireshark Desktop Icon」はデスクトップに表示するかどうかなので、表示したい人はチェックします。

 「Wireshark Quick Launch Icon」はタスクバーに常に表示するかどうかなので、よく使う人はチェックします。

 Legacyと付いている項目は、旧版のWireshark画面で起動するためのアイコンを追加するかどうかです。旧版の画面で使う人はチェックします。

 「Associate trace file extensions to Wireshark」は、表示されている拡張子のファイルではWiresharkが起動するようになるため、通常はチェックしたままにします。

 「Next>」をクリックすると以下の画面になります。

Wireshark6

 インストール先ですが、通常は変更しなくてよいためそのまま「Next>」をクリックすると以下の画面になります。

Wireshark7

 WinPcapというソフトをインストールするか確認されますが、必須のためチェックしたまま「Next」をクリックすると以下の画面になります。

Wireshark8

 USBPcapというソフトをインストールするか確認されます。USBデータをキャプチャしたい人はチェックします。チェックせずに「Install」をクリックするとファイルをコピーする画面が出た後、以下の画面になります。

Wireshark9

 WinPcapのインストール画面ですが、そのまま「Next>」をクリックすると以下の画面になります。

Wireshark_a

 ライセンス同意画面のため「I Agree」をクリックすると以下の画面になります。

Wireshark_b

 「Install」をクリックするとファイルをコピーする画面が出た後、以下の画面になります。

Wireshark_c

 WinPcapのインストールが完了した事を示す画面のため、そのまま「Finish」をクリックすると以下の画面になります。

Wireshark_d

 Wiresharkのインストールが完了した事を示す画面のため、そのまま「Next>」をクリックすると以下の画面になります。

Wireshark_e

 「Finish」をクリックするとインストールは完了です。

Wiresharkの実行

 インストール時に「Wireshark Desktop Icon」を選択していればデスクトップのアイコンをダブルクリック、「Wireshark Quick Launch Icon」を選択していればタスクバーのアイコンをクリックして起動します。「Wireshark Start Menu Item」だけ選択した場合はタスクバーの一番左のWindowsマークから起動します。

Wireshark_f

 上記の初期画面で、フレームを採取したいインターフェースをダブルクリックする事でキャプチャが開始されます。

 尚、インストール時にLegacyを選択していた場合、「Wireshark Legacy」アイコンから起動すると旧版の画面で起動します。使い方は「Wiresharkの使い方/V1版」をご参照下さい。

画面の見方

 キャプチャし始めると以下の画面になります。

Wireshark_g

 赤枠で囲った部分はフレームの流れを示し、パケット一覧部(Packet List)と呼ばれる部分です。

 紫で囲った部分は赤枠内で選択した1フレームの中身を分かり易く表示しており、パケット詳細部(Packet Details)と呼ばれる部分です。初期状態はヘッダー毎にまとまっていますが、一番左のWiresharkのアイコン1をクリックする事でヘッダーの中身を確認出来ます。ヘッダーの中身では、これまで説明してきたヘッダー構造とその値を見る事が出来ます。

 緑で囲った部分は1フレームを16進数で表示しており、パケットデータ部(Packet Bytes)と呼ばれる部分です。紫部分はこの16進数を読み取って分かり易く表示しています。紫部分で例えばSorce port部分をクリックすると該当する16進数部分が選択されるため、ヘッダーに対して16進数ではどの部分が該当するか確認する事が出来ます。

 Wiresharkでフレームを採取すると大量のフレームが表示されますが、フィルタにより表示したいフレームだけ表示する事が出来ます。フィルタは画面上の薄く「表示フィルタを適用します・・・」と記載された所に記入してエンターキーを押す事で有効になります。

Wireshark_i

 フィルタの例を以下に示します。

【表示フィルタ例】
フィルタ 例でのフィルタ内容説明
ip.addr== ip.addr==192.168.1.1 192.168.1.1を送信元、又は宛先IPアドレスとするフレーム
ip.src== ip.src==192.168.1.2 送信元:192.168.1.2のフレーム
ip.dst== ip.dst==192.168.1.3 宛先192.168.1.3のフレーム
プロトコル icmp icmpプロトコルのフレーム(他にはtcp,udp,http,arp等)
tcp.port== tcp.port==80 TCPポート番号80を送信元、又は宛先とするフレーム
udp.port== udp.port==53 UDPポート番号53を送信元、又は宛先とするフレーム

 条件式を利用してもう少し複雑なフィルタも書けます。以下に例を示します。

【複雑なフィルタ例】
条件式 フィルタ例 説明
&& ip.src==102.168.1.2 && ip.dst==192.168.1.3 送信元192.168.1.2、且つ宛先192.168.1.3のフレーム
|| ip.src==102.168.1.2 || ip.dst==192.168.1.3 送信元192.168.1.2、又は宛先192.168.1.3のフレーム
() (ip.src==192.168.1.2 && ip.dst==192.168.1.3) || (ip.src==192.168.1.4 && ip.dst==192.168.1.5) 送信元192.168.1.2で宛先192.168.1.3、送信元192.168.1.4で宛先192.168.1.5両方のフレーム

 最後の例は()で括る事で数学のように()内が先に判断されます。

 よく使う例の1つは「ip.addr==192.168.1.2 && ip.addr==192.168.1.3 || icmp」です。192.168.1.2と192.168.1.3間の通信を調査したい場合、行きと帰りのフレームを採取するためです。icmpはエラーや通信上の情報を与えてくれてトラブル解決のヒントになる事があるため表示するようにします。

キャプチャの停止と保存

 キャプチャは「キャプチャ」から「ストップ」を選択する事で停止出来ます。

Wireshark_j

 キャプチャしたデータは「ファイル」から「...として保存」を選択し、その後ファイル名を入力してセーブ可能です。

Wireshark_k

 セーブしたキャプチャデータはファイルをダブルクリックする事でいつでも見れます。

 表示フィルタは表示をフィルタするため、実際には全てのフレームをキャプチャしています。このため、多量のフレームが流れている時はすぐにデータが大きくなってしまいます。

 データが大きくならないように必要なフレームのみ採取する方法があり、キャプチャフィルタと言います。キャプチャフィルタは長時間採取が可能になるため、例えば夜間採取し続ける時等に有効です。

 キャプチャフィルタは初期画面で薄く「キャプチャフィルタを入力・・・」と記載された所に入力し、その後利用するインターフェースをダブルクリックする事で指定したフレームだけ採取を開始します。

Wireshark_l

 キャプチャフィルタの指定方法は表示フィルタと違います。以下に例を示します。

【キャプチャフィルタ例】
フィルタ 例でのフィルタ内容説明
host host 192.168.1.1 192.168.1.1を送信元、又は宛先IPアドレスとするフレーム
ip src host ip src host 192.168.1.2 送信元:192.168.1.2のフレーム
ip dst host ip dst host 192.168.1.3 宛先192.168.1.3のフレーム
プロトコル icmp icmpプロトコルのフレーム(他にはtcp,udp,http,arp等)
tcp port tcp port 80 TCPポート番号80を送信元、又は宛先とするフレーム
udp port udp port 53 UDPポート番号53を送信元、又は宛先とするフレーム

 尚、「&&」、「||」、「()」は表示フィルタと同じように使えます。

次のページ「Wiresharkを使った解析

サイト関連1

トラブル対応「ポートミラーリング

キーマンズネット1

ネットワーク早わかり講座「第34回 パケットの捕捉・解析 LANアナライザ
  • このエントリーをはてなブックマークに追加