By: adminPosted on

多くのIT専門家にとって、Wiresharkはネットワークパケット分析のためのツールです。 オープンソースのソフトウェアを使用すると、収集されたデータを綿密に調べ、精度を向上させて問題の根本を特定することができます。 さらに、Wiresharkはリアルタイムで動作し、他の気の利いたメカニズムの中で、キャプチャされたパケットを表示するために色分けを使用しています。

Wiresharkでパケットを読み取る方法

このチュートリアルでは、Wiresharkを使用してパケットをキャプチャ、読み取り、フィルタリングする方法を説明します。 以下では、基本的なネットワーク解析機能のステップバイステップの手順と故障を見つけることができます。 これらの基本的な手順を習得すると、ネットワークのトラフィックフローを検査し、問題のトラブルシューティングをより効率的に行うことができます。

パケットの分析

パケットがキャプチャされると、Wiresharkは信じられないほど読みやすい詳細なパケットリストペインにそれらを整理します。 単一のパケットに関する情報にアクセスしたい場合は、リスト上でそれを見つけてクリックするだけです。 ツリーをさらに展開して、パケット内に含まれる各プロトコルの詳細にアクセスすることもできます。

より包括的な概要については、キャプチャされた各パケットを別のウィンドウに表示することができます。 ここではどのように:

  1. カーソルでリストからパケットを選択し、右クリックします。
  2. 上のツールバーから”表示”タブを開きます。
  3. ドロップダウンメニューから”新しいウィンドウでパケットを表示”を選択します。

注:キャプチャされたパケットを別のウィンドウで表示すると、キャプチャされたパケットを比較する方がはるかに簡単です。

前述のように、Wiresharkはデータの視覚化に色分けシステムを使用します。 各パケットには、異なる種類のトラフィックを表す異なる色が付いています。 たとえば、TCPトラフィックは通常青で強調表示され、黒はエラーを含むパケットを示すために使用されます。

もちろん、各色の背後にある意味を暗記する必要はありません。 代わりに、その場で確認することができます:

  1. 調べたいパケットを右クリックします。
  2. 画面上部のツールバーから”表示”タブを選択します。
  3. ドロップダウンパネルから”着色ルール”を選択します。

あなたの好みに合わせて色付けをカスタマイズするオプションが表示されます。 ただし、カラーリングルールを一時的に変更するだけの場合は、次の手順に従います:

  1. パケットリストペインでパケットを右クリックします。
  2. オプションのリストから、”フィルタで色付け”を選択します。”
  3. ラベルを付ける色を選択します。

番号

パケットリストペインには、キャプチャされたデータビットの正確な数が表示されます。 パケットはいくつかの列に整理されているので、解釈するのはかなり簡単です。 デフォルトのカテゴリは次のとおりです:

  • いや (番号):前述のように、この列にキャプチャされたパケットの正確な数を見つけることができます。 数字は、データを濾過した後も同じままになります。
  • 時刻:ご想像のとおり、パケットのタイムスタンプがここに表示されます。
  • 出典:パケットの発信元を示しています。
  • 宛先:パケットが保管される場所を示します。
  • : 通常は省略形でプロトコルの名前が表示されます。
  • 長さ:キャプチャされたパケットに含まれるバイト数を示します。
  • Info:この列には、特定のパケットに関する追加情報が含まれています。

時間

Wiresharkがネットワークトラフィックを分析すると、キャプチャされた各パッケージにはタイムスタンプが付きます。 タイムスタンプはパケットリストペインに含まれ、後で検査するために使用できます。

Wiresharkはタイムスタンプ自体を作成しません。 代わりに、アナライザツールはNpcapライブラリからそれらを取得します。 しかし、タイムスタンプのソースは実際にはカーネルです。 そのため、タイムスタンプの精度はファイルごとに異なる可能性があります。

パケットリストにタイムスタンプを表示する形式を選択できます。 また、表示される優先精度または小数点以下の桁数を設定することもできます。 デフォルトの精度設定とは別に、次のものもあります:

  • 10分の1秒
  • 10分の1秒
  • ミリ秒
  • マイクロ秒
  • ナノ秒

ソース

名前が示すように、パケットの送信元は起源の場所です。 Wiresharkリポジトリのソースコードを取得する場合は、Gitクライアントを使用してダウンロードできます。 ただし、この方法ではGitLabアカウントが必要です。 それなしでそれを行うことは可能ですが、念のためにサインアップする方が良いです。

アカウントを登録したら、次の手順に従います:

  1. 次のコマンドを使用してGitが機能していることを確認します: “$ git -–version.
  2. メールアドレスとユーザー名が設定されているかどうかを再確認します。
  3. 次に、Worksharkソースのクローンを作成します。 コピーを作成するには、”$ git clone -o upstream :wireshark/wireshark.git“SSH URLを使用します。
  4. GitLabアカウントをお持ちでない場合は、HTTPS URLを試してください: “$ git clone -o upstream https://gitlab.com/wireshark/wireshark.git.

すべてのソースは、その後、お使いのデバイスにコピーされます。 特にネットワーク接続が遅い場合は、クローン作成に時間がかかることに注意してください。

宛先

特定のパケットの宛先のIPアドレスを知りたい場合は、表示フィルタを使用してそれを見つけることができます。 ここではどのように:

  1. Wiresharkの「フィルタ」ボックスに「ip.addr == 8.8.8.8」と入力します。「次に、「Enter」をクリックします。”
  2. パケットリストペインは、パケット宛先を表示するためにのみ再設定されます。 リストをスクロールして、興味のあるIPアドレスを見つけます。
  3. 完了したら、ツールバーから”クリア”を選択して、パケットリストペインを再設定します。

プロトコル

プロトコルは、同じネットワークに接続されている異なるデバイス間のデータ伝送を決定するガイドラインです。 各Wiresharkパケットにはプロトコルが含まれており、表示フィルタを使用して起動できます。 ここではどのように:

  1. Wiresharkウィンドウの上部にある”フィルタ”ダイアログボックスをクリックします。
  2. 検査するプロトコルの名前を入力します。 通常、プロトコルのタイトルは小文字で記述されます。
  3. “Enter”または”Apply”をクリックして表示フィルタを有効にします。

長さ

Wiresharkパケットの長さは、その特定のネットワークスニペットでキャプチャされたバイト数によって決まります。 その数は、通常、Wiresharkウィンドウの下部にリストされている生データバイト数に対応します。

長さの分布を調べたい場合は、”パケット長”ウィンドウを開きます。 すべての情報は、次の列に分かれています:

  • パケット長
  • カウント
  • 平均
  • 最小Val/最大Val
  • レート
  • パーセント
  • バーストレート
  • バースト開始

  • info

    特定のキャプチャされたパケット内に異常または類似のアイテムがある場合、Wiresharkはそれを記録します。 その後、情報がパケットリストペインに表示され、詳細が確認されます。 そうすれば、あなたはより迅速な反応になります非定型のネットワークの動作の明確な画像を持っているでしょう。

    その他のFaq

    パケットデータをフィルタリングするにはどうすればよいですか?

    フィルタリングは、特定のデータシーケンスの詳細を調べることができる効率的な機能です。 Wiresharkフィルタには、キャプチャと表示の2種類があります。 キャプチャフィルタは、特定の要求に合うようにパケットキャプチャを制限するためにあります。 つまり、キャプチャフィルタを適用することで、さまざまな種類のトラフィックを取捨選択できます。 名前が示すように、表示フィルタを使用すると、パケットの長さからプロトコルまで、パケットの特定の要素に磨きをかけることができます。

    フィルターの適用は非常に簡単なプロセスです。 Wiresharkウィンドウの上部にあるダイアログボックスにフィルタタイトルを入力できます。 さらに、ソフトウェアは通常、フィルタの名前を自動補完します。または、デフォルトのWiresharkフィルタをコームする場合は、次の操作を行います。

    1。 Wiresharkウィンドウの上部にあるツールバーの「分析」タブを開きます。

    2. ドロップダウンリストから、”フィルタの表示”を選択します。”

    3. リストを参照し、適用するリストをクリックします。

    最後に、便利な一般的なWiresharkフィルタをいくつか紹介します。

    •送信元と宛先のIPアドレスのみを表示するには、次のようにします。: “ip.src==IP-address and ip.dst==IP-address

    • SMTPトラフィックのみを表示するには、次のように入力します: “tcp.port eq 25

    • すべてのサブネットトラフィックをキャプチャするには、次を適用します: “net 192.168.0.0/24

    • ARPとDNSトラフィック以外のすべてをキャプチャするには、次を使用します: “port not 53 and not arp

    Wiresharkでパケットデータをキャプチャするにはどうすればよいですか?

    Wiresharkをデバイスにダウンロードしたら、ネットワーク接続の監視を開始できます。 包括的な分析のためにデータパケットをキャプチャするには、次のことを行う必要があります。

    1. Wiresharkを起動します。 利用可能なネットワークのリストが表示されるので、調べたいネットワークをクリックします。 トラフィックの種類を特定する場合は、キャプチャフィルタを適用することもできます。

    2. 複数のネットワークを検査する場合は、”shift+左クリック”コントロールを使用します。

    3. 次に、上のツールバーの左端のフカヒレのアイコンをクリックします。

    4. また、”キャプチャ”タブをクリックし、ドロップダウンリストから”開始”を選択してキャプチャを開始することもできます。

    5. それを行う別の方法は、”Control–E”キーストロークを使用することです。

    ソフトウェアがデータを取得すると、パケットリストペインにリアルタイムで表示されます。

    Shark Byte

    Wiresharkは非常に高度なネットワークアナライザですが、驚くほど簡単に解釈できます。 パケットリストペインは非常に包括的でよく組織されています。 すべての情報は、7つの異なる色に配布され、明確なカラーコードでマークされています。

    さらに、オープンソースのソフトウェアには、監視を容易にする簡単に適用できるフィルタが多数付属しています。 キャプチャフィルタを有効にすると、Wiresharkで分析するトラフィックの種類を特定できます。 また、データが取得されると、指定した検索に複数の表示フィルタを適用できます。 すべてのすべてで、それは習得するにはあまりにも難しいことではありません非常に効率的なメカニズムです。

コメントを残す

メールアドレスが公開されることはありません。