【Wireshark v2.6.2】インストール方法と使用方法

Wireshark はオープンソースの LAN アナライザで、ネットワーク上を流れるパケットをキャプチャして、そのパケットを解析・分析するツールです。

 

同じくパケットキャプチャツールの tcpdump コマンドがありますが、tcpdump コマンドに関しては以下の解説を参考にしてください。

 

tcpdump のインストールと使い方 パケット解析をする

 

 

 

Wireshark をインストールする環境

以下の環境に現時点での最新版の Wireshark(64bit版)v2.6.2 をインストールします。

●環境

  • OS:Windows Server 2008
  • アーキテクチャ:64bit

 

【WireShark v2.6.2】インストール方法と使用方法

 

 

Wiresharkの仕組み

Wireshark はネットワーク上に流れるパケットをキャプチャして分析・解析するツールです。

ネットワーク上に流れるパケットの実態は「電気信号」ですが、ネットワーク上のパケットは最終的にコンピュータに付属している NIC(LANカード)に流れ、NIC のチップセットによりデジタル信号に変換されます、フレームとして組み立てられます。

その後、このフレームは WinPcap などのパケットキャプチャドライバに渡され、Wireshark 上で表示、分析・解析ができるようになります。

 

NIC に大量のパケットが送信されると、NIC が処理しきれなくなることがあります。

これを「ジャバリング」もしくは「チャタリング」と言います。

 

 

 

 

Wireshark のダウンロード

Wireshark は窓の杜からダウンロードすることができます。

https://forest.watch.impress.co.jp/library/software/wireshark/

 

今回は 64bit版をインストールします。

「窓の杜からダウンロード」ボタンをクリックします。

【WireShark v2.6.2】インストール方法と使用方法

 

 

 

 

「exe」ファイルをダウンロードしたらダブルクリックしてインストーラを起動します。

【WireShark v2.6.2】インストール方法と使用方法

 

 

 

以下の「ユーザーアカウント制御」の画面が表示されたら「はい」ボタンをクリックします。

【WireShark v2.6.2】インストール方法と使用方法

 

 

 

 

 

Wireshark のセットアップ画面が表示されたら「Next」ボタンをクリックします。

【WireShark v2.6.2】インストール方法と使用方法

 

 

 

 

「License Agreement」画面が表示されたら「I Agree」ボタンをクリックします。

【WireShark v2.6.2】インストール方法と使用方法

 

 

 

 

インストールするコンポーネントを選択する画面が表示されたら、デフォルトのまま「Next」ボタンをクリックします。

【WireShark v2.6.2】インストール方法と使用方法

 

 

 

 

 

追加タスクの画面が表示されたら、デフォルトのまま「Next」ボタンをクリックします。

【WireShark v2.6.2】インストール方法と使用方法

 

 

 

 

 

インストール場所の設定画面が表示されたら、デフォルトのまま「Next」ボタンをクリックします。

【WireShark v2.6.2】インストール方法と使用方法

 

 

 

 

 

WinPcap 4.1.3 のインストール選択画面が表示されたら、「Install WinPcap 4.1.3」にチェックが入っていることを確認して「Next」ボタンをクリックします。

【WireShark v2.6.2】インストール方法と使用方法

 

Wiresharkではパケットキャプチャドライバとして「WinPcap(Windows用ドライバ)」を利用します。

Linuxの場合は「LibPcap(Linux用ドライバ)」を利用します。

 

 

 

「USB Capture」画面が表示されたら、デフォルトのままチェックを入れずに「Install」ボタンをクリックします。

※USBのキャプチャもする場合はチェックを入れます。

【WireShark v2.6.2】インストール方法と使用方法

 

「Install」ボタンをクリックするとインストールが開始されます。

 

 

 

 

Wiresharkのインストール中に「Welcom to the WinPcap 4.1.3 Setup Wizard」画面が表示されたら、「Next」ボタンをクリックします。

【WireShark v2.6.2】インストール方法と使用方法

 

 

 

 

 

WinPcap 4.1.3 の License Agreement 画面が表示されたら「I Agree」ボタンをクリックします。

【WireShark v2.6.2】インストール方法と使用方法

 

 

 

 

WinPcapのインストールオプション画面が表示されたら「Automaticall start the WinPcap driver at boot time」にチェックが入っていることを確認し「Install」ボタンをクリックします。

【WireShark v2.6.2】インストール方法と使用方法

 

 

 

 

 

 

インストールが完了したら「Finish」ボタンをクリックします。

【WireShark v2.6.2】インストール方法と使用方法

 

 

※「Finish」ボタンをクリックすると、Wireshark のインストールが再開されます。

 

 

 

Wireshark のインストールが完了したら「Next」ボタンをクリックします。

【WireShark v2.6.2】インストール方法と使用方法

 

 

 

 

「Finish」ボタンをクリックします。

【WireShark v2.6.2】インストール方法と使用方法

 

 

 

 

Wireshark の使用方法

Wireshark のインストールが完了したら、続けて使用方法について解説します。

 

Wireshark の起動

スタートメニューより「Wireshark」をクリックします。

【WireShark v2.6.2】インストール方法と使用方法

 

 

 

Wireshark が起動します。

【WireShark v2.6.2】インストール方法と使用方法

 

 

 

 

Wireshark の使用方法

DMZ 領域にある Web サーバーの「インターネット側」「ローカル側」両方のパケットキャプチャをする場合です。

 

■構成

  • プライベートIP アドレス: 192.168.20.151 ← ローカル側
  • グローバルIPアドレス: 18.xx.xx.xx ← インターネット側

 

C:\Users\Administrator>ipconfig/all 
 
Windows IP 構成 
 
   ホスト名 . . . . . . . . . . . . : TESTSV01 
   プライマリ DNS サフィックス . . . . . . . : 
   ノード タイプ . . . . . . . . . . . . : ハイブリッド 
   IP ルーティング有効 . . . . . . . . : いいえ 
   WINS プロキシ有効 . . . . . . . . : いいえ 
 
イーサネット アダプター ローカル エリア接続 6: 
 
   接続固有の DNS サフィックス . . . : 
   説明. . . . . . . . . . . . . . . : HPネットワーク チーム #2 
   物理アドレス. . . . . . . . . . . : 78-xx-B5-xx-4B-xx
   DHCP 有効 . . . . . . . . . . . . : いいえ 
   自動構成有効. . . . . . . . . . . : はい 
   IPv4 アドレス . . . . . . . . . . : 192.168.20.151 ← DMZ の内側(ローカル側)の IP アドレス
   サブネット マスク . . . . . . . . : 255.255.255.0 
   デフォルト ゲートウェイ . . . . . : 
   DNS サーバー. . . . . . . . . . . : 192.168.20.10 
                                       192.168.20.20 
   NetBIOS over TCP/IP . . . . . . . : 有効 
 
イーサネット アダプター ローカル エリア接続 5: 
 
   接続固有の DNS サフィックス . . . : 
   説明. . . . . . . . . . . . . . . : HPネットワーク チーム #1 
   物理アドレス. . . . . . . . . . . : xx-xx-xx-04-xx-C0 
   DHCP 有効 . . . . . . . . . . . . : いいえ 
   自動構成有効. . . . . . . . . . . : はい 
   IPv4 アドレス . . . . . . . . . . : 18.xx.xx.xx(優先) ← DMZ の外側(インターネット側)の IP アドレス 
   サブネット マスク . . . . . . . . : 255.255.255.240 
   デフォルト ゲートウェイ . . . . . : 18.xx.xx.xx 
   DNS サーバー. . . . . . . . . . . : 11.xx.xx.xx 
                                       20.xx.xx.xx 
   NetBIOS over TCP/IP . . . . . . . : 有効 
 
Tunnel adapter Teredo Tunneling Pseudo-Interface: 
 
   メディアの状態. . . . . . . . . . : メディアは接続されていません 
   接続固有の DNS サフィックス . . . : 
   説明. . . . . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface 
   物理アドレス. . . . . . . . . . . : 00-00-00-00-00-00-00-E0 
   DHCP 有効 . . . . . . . . . . . . : いいえ 
   自動構成有効. . . . . . . . . . . : はい 
 
Tunnel adapter isatap.{xxxxxxx-xxxxx-xxxx-xxxx-xxxxxxx}: 
 
   メディアの状態. . . . . . . . . . : メディアは接続されていません 
   接続固有の DNS サフィックス . . . : 
   説明. . . . . . . . . . . . . . . : Microsoft ISATAP Adapter #5 
   物理アドレス. . . . . . . . . . . : 00-00-00-00-00-00-00-E0 
   DHCP 有効 . . . . . . . . . . . . : いいえ 
   自動構成有効. . . . . . . . . . . : はい 
 
Tunnel adapter isatap.{xxxxxxx-xxxxx-xxxx-xxxx-xxxxxxx}: 
 
   メディアの状態. . . . . . . . . . : メディアは接続されていません 
   接続固有の DNS サフィックス . . . : 
   説明. . . . . . . . . . . . . . . : Microsoft ISATAP Adapter #6 
   物理アドレス. . . . . . . . . . . : 00-00-00-00-00-00-00-E0 
   DHCP 有効 . . . . . . . . . . . . : いいえ 
   自動構成有効. . . . . . . . . . . : はい 
 
Tunnel adapter 6TO4 Adapter: 
 
   接続固有の DNS サフィックス . . . : 
   説明. . . . . . . . . . . . . . . : Microsoft 6to4 Adapter 
   物理アドレス. . . . . . . . . . . : 00-00-00-00-00-00-00-E0 
   DHCP 有効 . . . . . . . . . . . . : いいえ 
   自動構成有効. . . . . . . . . . . : はい 
   IPv6 アドレス . . . . . . . . . . . : xxxx:xx:xx::xxx:xxx(優先) 
   デフォルト ゲートウェイ . . . . . : 
   DNS サーバー. . . . . . . . . . . : 11.xx.xx.xx 
                                       20.xx.xx.xx 
   NetBIOS over TCP/IP . . . . . . . : 無効 
 
C:\Users\Administrator> 

 

 

 

パケットをキャプチャする

「ワイヤシャークネットワークアナライザ」のメニューより「キャプチャ」「オプション」をクリックします。

【WireShark v2.6.2】インストール方法と使用方法

 

 

 

「Wireshrk – キャプチャインタフェース」画面を表示した直後は下図のようにインタフェースが何も選択されていないので「開始」ボタンはグレイアウトしています。

キャプチャしたいインタフェースを選択すると「開始」ボタンが表示されます。

【WireShark v2.6.2】インストール方法と使用方法

 

 

 

パケットキャプチャしたいインタフェースを選択します。

今回の場合は「インターネット側」「ローカル側」の両方のパケットを取得するので「ローカルエリア接続 5」「ローカルエリア接続 6」を選択します。

必要なインタフェースを選択したら「開始」ボタンをクリックします。

【WireShark v2.6.2】インストール方法と使用方法

 

 

 

 

下図のようにパケットを取得できます。

【WireShark v2.6.2】インストール方法と使用方法

 

 

 

 

パケットキャプチャを停止する

左上の赤いをクリックします。

【WireShark v2.6.2】インストール方法と使用方法

 

 

 

 

Wireshark でのパケット解析方法

Wireshark でパケットを取得したら解析をします。

以下、パケットの解析方法です。

 

 

IPアドレスで絞る方法

メニューより「分析」「表示フィルタ」をクリックします。

【WireShark v2.6.2】インストール方法と使用方法

 

 

 

 

Wireshark の表示フィルタの例が表示されます。

今回は IP アドレスで絞りたいので、以下の形式でフィルタを掛けます。

【WireShark v2.6.2】インストール方法と使用方法

 

■フィルタリングの例

IP アドレスで絞る場合

【例】IP アドレス「192.168.1.1」で絞りたい

ip.addr == 192.168.1.1

 

ポート番号で絞る場合

【例】HTTP のみ絞りたい

tcp.port == 80

 

複数の条件を組み合わせる場合

【例】条件 且つ 条件(AND条件)

条件 and 条件

IP アドレスが 192.168.0.1 且つ ポート番号が TCP/80 のパケット

ip.addr == 192.168.0.1 and tcp.port == 80

 

【例】条件 または 条件(OR条件)

条件 || 条件

UDP ポートが 53番 または TCP ポートが 53番のパケット

udp.port == 53 || tcp.port == 53

 

 

表示フィルタは下図の赤枠で囲まれた部分に記述します。

【WireShark v2.6.2】インストール方法と使用方法

 

 

 

 

時刻を表記したい

デフォルトでは時刻ではなく、パケットキャプチャを開始した時刻からの相対的な経過時間になっています。

【WireShark v2.6.2】インストール方法と使用方法

 

 

 

 

 

Wireshark のメニューより「表示」「時刻表示形式」「日時」を選択します。

【WireShark v2.6.2】インストール方法と使用方法

 

 

 

下図のように表示が時刻に変わります。

【WireShark v2.6.2】インストール方法と使用方法

 

 

 

 

キャプチャデータをファイルとして保存する方法

後程じっくりと解析するために、キャプチャしたデータを保存する方法です。

Wireshark のメニューより「ファイル」「…として保存」をクリックします。

【WireShark v2.6.2】インストール方法と使用方法

 

 

 

任意のフォルダに名前を付けて保存します。

【WireShark v2.6.2】インストール方法と使用方法

 

 

 

下図のように「.pcapng」ファイル形式で保存されます。

【WireShark v2.6.2】インストール方法と使用方法

 

 

 

 

パケットの中の特定の文字列を検索する方法

キャプチャしたデータより、パケットの中の特定の文字列を検索することができます。

つまり、特定のIPアドレスをフィルタして、更にそのパケットの中の特定の文字列を検索することができます。

→2段階のフィルタが出来ます。

 

■「yahoo」の文字列だけフィルタする場合

例えば、特定の IP アドレスでフィルタリングをして、「yahoo」が含まれている URL で検索することができます。

 

下図のように虫メガネのような検索ボタンをクリックします。

【WireShark v2.6.2】インストール方法と使用方法

 

 

 

下図のように検索部分が表示されます。

【WireShark v2.6.2】インストール方法と使用方法

 

 

 

下図のように「表示フィルタ」「文字列」に設定し、検索欄に「yahoo」の文字列を入力し「検索」ボタンをクリックします。

【WireShark v2.6.2】インストール方法と使用方法

 

 

 

 

下図のように「yahoo」の文字列(大文字小文字区別せず)が含まれているパケットのみ画面に表示されます。

【WireShark v2.6.2】インストール方法と使用方法

 

 

 

検索したい文字列 URL の一部(news.yahoo等)などの場合、「パケット一覧」では見つからないことがあります。

その場合は「パケット詳細」を選択することでパケットの中身まで検索します。

【WireShark v2.6.2】インストール方法と使用方法

 

 

 

「パケット詳細」を選択することで、パケットの中身まで検索するので、特定の URL など検索することができます。

下図の場合は、URL の一部「news.yahoo」で検索した結果です。

【WireShark v2.6.2】インストール方法と使用方法

 

 

 

Wiresharkで特定のセッションだけ抽出する

Wiresharkで特定の通信セッションだけを抽出して表示することができます。

追跡したいパケットを選択して右クリックして「追跡」「TCPストリーム」をクリックします。

【WireShark v2.6.2】インストール方法と使用方法

 

 

以下のように特定のパケットからの TCP ストリームを追跡することができます。

【WireShark v2.6.2】インストール方法と使用方法

 

 

 

 

よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!

この記事を書いた人

コメント

コメントする

AlphaOmega Captcha Medica  –  What Do You See?
     
 

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください