Wiresharkの使い方/V1版
今ではパケットキャプチャの定番とも言えるWiresharkについてインストール、実行、画面の見方からフィルター方法、停止方法等基本的な使い方について説明しています。パケットの解析方法については次ページの「Wiresharkを使った解析」をご参照下さい。
尚、本ページはWiresharkのバージョン1系の時の説明をしています。最新版については「Wiresharkの使い方」をご参照下さい。
Wiresharkの概要
Wiresharkはパケットキャプチャを行うソフトウェアです。
GPLというライセンスを採用していて、自由にダウンロードして無料で利用出来ます。
Wiresharkのダウンロード
Wiresharkは以下で「Download」をクリックし、インストールするパソコンに該当するファイルをダウンロードします。
Windowsにインストールする場合、通常はWindows Installerの64bit版か32bit版を選択する事になりますが、V1系を選択すればパソコンにあったファイルがデフォルトで選択されているため、そのファイルをクリックして好きな場所に保存します。
Wiresharkのインストール
ダウンロードしたファイルをダブルクリックして実行します。ユーザーアカウント制御の画面が出たら「はい」をクリックすると以下の画面になります。
「Next>」をクリックすると以下の画面になります。
ライセンス同意画面のため「I Agree」をクリックすると以下の画面になります。
「Next>」をクリックすると以下の画面になります。
「Start Menu Item」はタスクバーの一番左のWindowsマークから選択出来るようになるため通常はチェックしたままにします。
「Desktop Icon」はデスクトップに表示するかどうかなので、表示したい人はチェックします。
「Quick Launch Icon」はタスクバーに常に表示するかどうかなので、よく使う人はチェックします。
「File Extensions」は表示されている拡張子のファイルではWiresharkが起動するようになるため、通常はチェックしたままにします。
「Next>」をクリックすると以下の画面になります。
インストール先ですが、通常は変更しなくてよいためそのまま「Next>」をクリックすると以下の画面になります。
WinPcapというソフトをインストールするか確認されますが、必須のためチェックしたまま「Install」をクリックするとファイルをコピーする画面が出た後、以下の画面になります。
WinPcapのインストール画面ですが、そのまま「Next>」をクリックすると以下の画面になります。
確認画面のためそのまま「Next>」をクリックすると以下の画面になります。
ライセンス同意画面のため「I Agree」をクリックすると以下の画面になります。
「Install」をクリックするとファイルをコピーする画面が出た後、以下の画面になります。
WinPcapのインストールが完了した事を示す画面のため、そのまま「Finish」をクリックすると以下の画面になります。
Wiresharkのインストールが完了した事を示す画面のため、そのまま「Next>」をクリックすると以下の画面になります。
「Finish」をクリックするとインストールは完了です。
インストール時に「Desktop Icon」を選択していればデスクトップのアイコンをダブルクリック、「Quick Launch Icon」を選択していればタスクバーのアイコンをクリックして起動します。「Start Menu Item」だけ選択した場合はタスクバーの一番左のWindowsマークから起動します。
「Capture」から「Interfacese...」を選択します。
フレームを採取したいインターフェースを選択し、「Start」をクリックする事でキャプチャが出来ます。
画面の見方
キャプチャし始めると以下の画面になります。
赤枠で囲った部分はフレームの流れを示し、Packet Listと呼ばれる部分です。
紫で囲った部分は赤枠内で選択した1フレームの中身を分かり易く表示しており、Packet Detailsと呼ばれる部分です。初期状態はヘッダー毎にまとまっていますが、一番左の+をクリックする事でヘッダーの中身を確認出来ます。ヘッダーの中身では、これまで説明してきたヘッダー構造とその値を見る事が出来ます。
緑で囲った部分は1フレームを16進数で表示しており、Packet Bytesと呼ばれる部分です。紫部分はこの16進数を読み取って分かり易く表示しています。紫部分で例えばSorce port部分をクリックすると該当する16進数部分が選択されるため、ヘッダーに対して16進数ではどの部分が該当するか確認する事が出来ます。
Wiresharkでフレームを採取すると大量のフレームが表示されますが、フィルターにより表示したいフレームだけ表示する事が出来ます。フィルターは画面左上の「Filter:」の右に記入してエンターキーを押す事で有効になります。
フィルターの例を以下に示します。
| フィルター | 例 | 例でのフィルター内容説明 |
|---|---|---|
| ip.addr== | ip.addr==192.168.1.1 | 192.168.1.1を送信元、又は宛先IPアドレスとするフレーム |
| ip.src== | ip.src==192.168.1.2 | 送信元:192.168.1.2のフレーム |
| ip.dst== | ip.dst==192.168.1.3 | 宛先192.168.1.3のフレーム |
| プロトコル | icmp | icmpプロトコルのフレーム(他にはtcp,udp,http,arp等) |
| tcp.port== | tcp.port==80 | TCPポート番号80を送信元、又は宛先とするフレーム |
| udp.port== | udp.port==53 | UDPポート番号53を送信元、又は宛先とするフレーム |
条件式を利用してもう少し複雑なフィルターも書けます。以下に例を示します。
| 条件式 | フィルター例 | 説明 |
|---|---|---|
| && | ip.src==102.168.1.2 && ip.dst==192.168.1.3 | 送信元192.168.1.2、且つ宛先192.168.1.3のフレーム |
| || | ip.src==102.168.1.2 || ip.dst==192.168.1.3 | 送信元192.168.1.2、又は宛先192.168.1.3のフレーム |
| () | (ip.src==192.168.1.2 && ip.dst==192.168.1.3) || (ip.src==192.168.1.4 && ip.dst==192.168.1.5) | 送信元192.168.1.2で宛先192.168.1.3、送信元192.168.1.4で宛先192.168.1.5両方のフレーム |
最後の例は()で括る事で数学のように()内が先に判断されます。
よく使う例の1つは「ip.addr==192.168.1.2 && ip.addr==192.168.1.3 || icmp」です。192.168.1.2と192.168.1.3間の通信を調査したい場合、行きと帰りのフレームを採取するためです。icmpはエラーや通信上の情報を与えてくれてトラブル解決のヒントになる事があるため表示するようにします。
キャプチャーの停止と保存
キャプチャーは「Capture」から「Stop」を選択する事で停止出来ます。
キャプチャーしたデータは「File」から「Save As...」を選択し、その後ファイル名を入力してセーブ可能です。
セーブしたキャプチャデータはファイルをダブルクリックする事でいつでも見れます。
ディスプレイフィルターは表示をフィルターするため、実際には全てのフレームをキャプチャしています。このため、多量のフレームが流れている時はすぐにデータが大きくなってしまいます。
データが大きくならないように必要なフレームのみ採取する方法があり、キャプチャーフィルターと言います。キャプチャーフィルターは長時間採取が可能になるため、例えば夜間採取し続ける時等に有効です。
キャプチャーフィルターはキャプチャー開始時に「Capture」から「Options...」を選択する事で利用出来ます。
以下の画面でキャプチャするインターフェースをダブルクリックします。
以下の画面で「Capture Filter」欄にフィルターを記入して「OK」をクリックします。
その後、「Capture Options」画面で「Start」をクリックすると指定したフレームだけ採取を開始します。
キャプチャーフィルターの指定方法はディスプレイフィルターと違います。以下に例を示します。
| フィルター | 例 | 例でのフィルター内容説明 |
|---|---|---|
| host | host 192.168.1.1 | 192.168.1.1を送信元、又は宛先IPアドレスとするフレーム |
| ip src host | ip src host 192.168.1.2 | 送信元:192.168.1.2のフレーム |
| ip dst host | ip dst host 192.168.1.3 | 宛先192.168.1.3のフレーム |
| プロトコル | icmp | icmpプロトコルのフレーム(他にはtcp,udp,http,arp等) |
| tcp port | tcp port 80 | TCPポート番号80を送信元、又は宛先とするフレーム |
| udp port | udp port 53 | UDPポート番号53を送信元、又は宛先とするフレーム |
尚、「&&」、「||」、「()」はディスプレイフィルターと同じように使えます。
次のページ「Wiresharkを使った解析」
- トラブル対応「ポートミラーリング」
