Wiresharkの使い方/V1版

今ではパケットキャプチャの定番とも言えるWiresharkについてインストール、実行、画面の見方からフィルター方法、停止方法等基本的な使い方について説明しています。パケットの解析方法については次ページの「Wiresharkを使った解析」をご参照下さい。

尚、本ページはWiresharkのバージョン1系の時の説明をしています。最新版については「Wiresharkの使い方」をご参照下さい。

Wiresharkの概要

 Wiresharkはパケットキャプチャを行うソフトウェアです。

Wireshark1

 GPLというライセンスを採用していて、自由にダウンロードして無料で利用出来ます。

Wiresharkのダウンロード

 Wiresharkは以下で「Download」をクリックし、インストールするパソコンに該当するファイルをダウンロードします。

http://www.wireshark.org/

 Windowsにインストールする場合、通常はWindows Installerの64bit版か32bit版を選択する事になりますが、V1系を選択すればパソコンにあったファイルがデフォルトで選択されているため、そのファイルをクリックして好きな場所に保存します。

Wiresharkのインストール

 ダウンロードしたファイルをダブルクリックして実行します。ユーザーアカウント制御の画面が出たら「はい」をクリックすると以下の画面になります。

Wireshark2

 「Next>」をクリックすると以下の画面になります。

Wireshark3

 ライセンス同意画面のため「I Agree」をクリックすると以下の画面になります。

Wireshark4

 「Next>」をクリックすると以下の画面になります。

Wireshark5

 「Start Menu Item」はタスクバーの一番左のWindowsマークから選択出来るようになるため通常はチェックしたままにします。

 「Desktop Icon」はデスクトップに表示するかどうかなので、表示したい人はチェックします。

 「Quick Launch Icon」はタスクバーに常に表示するかどうかなので、よく使う人はチェックします。

 「File Extensions」は表示されている拡張子のファイルではWiresharkが起動するようになるため、通常はチェックしたままにします。

 「Next>」をクリックすると以下の画面になります。

Wireshark6

 インストール先ですが、通常は変更しなくてよいためそのまま「Next>」をクリックすると以下の画面になります。

Wireshark7

 WinPcapというソフトをインストールするか確認されますが、必須のためチェックしたまま「Install」をクリックするとファイルをコピーする画面が出た後、以下の画面になります。

Wireshark8

 WinPcapのインストール画面ですが、そのまま「Next>」をクリックすると以下の画面になります。

Wireshark9

 確認画面のためそのまま「Next>」をクリックすると以下の画面になります。

Wireshark_a

 ライセンス同意画面のため「I Agree」をクリックすると以下の画面になります。

Wireshark_b

 「Install」をクリックするとファイルをコピーする画面が出た後、以下の画面になります。

Wireshark_c

 WinPcapのインストールが完了した事を示す画面のため、そのまま「Finish」をクリックすると以下の画面になります。

Wireshark_d

 Wiresharkのインストールが完了した事を示す画面のため、そのまま「Next>」をクリックすると以下の画面になります。

Wireshark_e

 「Finish」をクリックするとインストールは完了です。

 インストール時に「Desktop Icon」を選択していればデスクトップのアイコンをダブルクリック、「Quick Launch Icon」を選択していればタスクバーのアイコンをクリックして起動します。「Start Menu Item」だけ選択した場合はタスクバーの一番左のWindowsマークから起動します。

Wireshark_f

 「Capture」から「Interfacese...」を選択します。

Wireshark_g

 フレームを採取したいインターフェースを選択し、「Start」をクリックする事でキャプチャが出来ます。

画面の見方

 キャプチャし始めると以下の画面になります。

Wireshark_h

 赤枠で囲った部分はフレームの流れを示し、Packet Listと呼ばれる部分です。

 紫で囲った部分は赤枠内で選択した1フレームの中身を分かり易く表示しており、Packet Detailsと呼ばれる部分です。初期状態はヘッダー毎にまとまっていますが、一番左の+をクリックする事でヘッダーの中身を確認出来ます。ヘッダーの中身では、これまで説明してきたヘッダー構造とその値を見る事が出来ます。

 緑で囲った部分は1フレームを16進数で表示しており、Packet Bytesと呼ばれる部分です。紫部分はこの16進数を読み取って分かり易く表示しています。紫部分で例えばSorce port部分をクリックすると該当する16進数部分が選択されるため、ヘッダーに対して16進数ではどの部分が該当するか確認する事が出来ます。

 Wiresharkでフレームを採取すると大量のフレームが表示されますが、フィルターにより表示したいフレームだけ表示する事が出来ます。フィルターは画面左上の「Filter:」の右に記入してエンターキーを押す事で有効になります。

Wireshark_i

 フィルターの例を以下に示します。

【ディスプレイフィルター例】
フィルター 例でのフィルター内容説明
ip.addr== ip.addr==192.168.1.1 192.168.1.1を送信元、又は宛先IPアドレスとするフレーム
ip.src== ip.src==192.168.1.2 送信元:192.168.1.2のフレーム
ip.dst== ip.dst==192.168.1.3 宛先192.168.1.3のフレーム
プロトコル icmp icmpプロトコルのフレーム(他にはtcp,udp,http,arp等)
tcp.port== tcp.port==80 TCPポート番号80を送信元、又は宛先とするフレーム
udp.port== udp.port==53 UDPポート番号53を送信元、又は宛先とするフレーム

 条件式を利用してもう少し複雑なフィルターも書けます。以下に例を示します。

【複雑なフィルター例】
条件式 フィルター例 説明
&& ip.src==102.168.1.2 && ip.dst==192.168.1.3 送信元192.168.1.2、且つ宛先192.168.1.3のフレーム
|| ip.src==102.168.1.2 || ip.dst==192.168.1.3 送信元192.168.1.2、又は宛先192.168.1.3のフレーム
() (ip.src==192.168.1.2 && ip.dst==192.168.1.3) || (ip.src==192.168.1.4 && ip.dst==192.168.1.5) 送信元192.168.1.2で宛先192.168.1.3、送信元192.168.1.4で宛先192.168.1.5両方のフレーム

 最後の例は()で括る事で数学のように()内が先に判断されます。

 よく使う例の1つは「ip.addr==192.168.1.2 && ip.addr==192.168.1.3 || icmp」です。192.168.1.2と192.168.1.3間の通信を調査したい場合、行きと帰りのフレームを採取するためです。icmpはエラーや通信上の情報を与えてくれてトラブル解決のヒントになる事があるため表示するようにします。

キャプチャーの停止と保存

 キャプチャーは「Capture」から「Stop」を選択する事で停止出来ます。

Wireshark_j

 キャプチャーしたデータは「File」から「Save As...」を選択し、その後ファイル名を入力してセーブ可能です。

Wireshark_k

 セーブしたキャプチャデータはファイルをダブルクリックする事でいつでも見れます。

 ディスプレイフィルターは表示をフィルターするため、実際には全てのフレームをキャプチャしています。このため、多量のフレームが流れている時はすぐにデータが大きくなってしまいます。

 データが大きくならないように必要なフレームのみ採取する方法があり、キャプチャーフィルターと言います。キャプチャーフィルターは長時間採取が可能になるため、例えば夜間採取し続ける時等に有効です。

 キャプチャーフィルターはキャプチャー開始時に「Capture」から「Options...」を選択する事で利用出来ます。

Wireshark_l

 以下の画面でキャプチャするインターフェースをダブルクリックします。

Wireshark_m

 以下の画面で「Capture Filter」欄にフィルターを記入して「OK」をクリックします。

Wireshark_n

 その後、「Capture Options」画面で「Start」をクリックすると指定したフレームだけ採取を開始します。

 キャプチャーフィルターの指定方法はディスプレイフィルターと違います。以下に例を示します。

【キャプチャーフィルター例】
フィルター 例でのフィルター内容説明
host host 192.168.1.1 192.168.1.1を送信元、又は宛先IPアドレスとするフレーム
ip src host ip src host 192.168.1.2 送信元:192.168.1.2のフレーム
ip dst host ip dst host 192.168.1.3 宛先192.168.1.3のフレーム
プロトコル icmp icmpプロトコルのフレーム(他にはtcp,udp,http,arp等)
tcp port tcp port 80 TCPポート番号80を送信元、又は宛先とするフレーム
udp port udp port 53 UDPポート番号53を送信元、又は宛先とするフレーム

 尚、「&&」、「||」、「()」はディスプレイフィルターと同じように使えます。

次のページ「Wiresharkを使った解析

サイト関連1

トラブル対応「ポートミラーリング
  • このエントリーをはてなブックマークに追加