2. WireSharkの使い方
2. WireSharkの使い方
Wireshark は、PCAP(パケットキャプチャファイル)の作成と分析に使用されるツール。
最良のパケット分析ツールの 1 つとして一般的に使用されている。
2.1. WireSharkの概要
WireSharkを最初に開いた画面ではインターフェイスを指定したり、フィルターを適用してキャプチャするトラフィックを絞り込んだりできる。
このページではインターフェイス上でライブ キャプチャを実行するか、分析のためにPCAPをロードするかを選択できる。
Wireshark は各パケットに関する次のような情報を提供する。
- パケット番号
- 時間
- ソース
- 行き先
- プロトコル
- 長さ
- パケット情報
Wiresharkは、簡単なパケット情報に加えて、危険レベルの順にパケットとプロトコルを色分けして、キャプチャ内の異常とプロトコルを素早く特定できる。
2.2. キャプチャのフィルタリング
2.2.1. フィルタリング演算子
フィルタリング構文と組み合わせて使用できる演算子。
&&/and… および||/or… または!=/not… 等しくない==/eq… 等しい>/gt… 大なり</lt… 未満
2.2.2. 基本的なフィルタリング
表示フィルタではフィルタを入力することにより表示をフィルタリングできる。
| フィルタの構文 | 説明 |
|---|---|
| ip.addr == <IPアドレス> | 送信元あるいは宛先が<IPアドレス>であるパケットを表示する |
| ip.src == | 送信元が |
| ip.dst == | 送信先が |
| tcp.port == <Port #> or | TCPのポートを指定 |
| udp.port == <Port #> or | UDPのポートを指定 |
| tcp.srcport == <Port #> or | 送信元TCPのポートを指定 |
| udp.srcport == <Port #> or | 送信元UDPのポートを指定 |
| tcp.dstport == <Port #> or | 宛先TCPのポートを指定 |
| udp.dstport == <Port #> or | 宛先UDPのポートを指定 |
| http | HTTPのパケットを表示する |
| http.request | HTTPリクエストを表示する |
2.2.3. キャプチャフィルター
キャプチャフィルターは特定のパケットのみを取得したい場合に使用するフィルター。
メリットはキャプチャするパケット量が少なくなるため負荷を軽減し取り残しを避けられ、保存するストレージの容量を節約できる。
キャプチャフィルタは以下の通り。
| フィルタの構文 | 説明 |
|---|---|
| icmp | ICMPの全パケットをキャプチャ |
| host <IPアドレス> | IPアドレスのパケットをキャプチャ |
| ip src host <IPアドレス> | 送信元IPアドレスのパケットだけキャプチャ |
| port <ポート番号> | ポート番号の通信をキャプチャする |
| tcp port <ポート番号> | TCPでポート番号の通信をキャプチャする |
| tcp dst port <ポート番号> | TCPで宛先ポート番号の通信をキャプチャする |