Wiresharkの操作方法 のバックアップ(No.4)

[ トップ ]   [ 新規 | 一覧 | 単語検索 | 最終更新 | ヘルプ ]

• バックアップ一覧
• 差分 を表示
• 現在との差分 を表示
• ソース を表示
• Wiresharkの操作方法 へ行く。
  • 1 (2017-05-04 (木) 22:58:16)
  • 2 (2017-05-04 (木) 23:06:10)
  • 3 (2017-05-07 (日) 21:39:38)
  • 4 (2017-05-08 (月) 15:28:24)
  • 5 (2017-05-09 (火) 16:49:43)
  • 6 (2017-05-10 (水) 12:05:22)
  • 7 (2017-05-10 (水) 15:33:34)
  • 8 (2017-05-10 (水) 15:36:24)
  • 9 (2017-10-29 (日) 18:07:43)
  • 10 (2017-11-28 (火) 09:22:20)
  • 11 (2018-01-16 (火) 16:21:49)

---

「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

• 戻る
  • 監視・パケット解析編
  • 電文を確認する方法（パケット・キャプチャ）

目次 †

概要 †

• OSSソフトウェアLANアナライザであるWiresharkの操作方法を説明する。
• 元ネタが古く、wireshark-setup-0.99.7.exeを使用している（操作方法は大きく変わっていないと思う）。

Wiresharkの特徴 †

区分 †

LANアナライザには、以下の区分がある。

区分ごとの特徴 †

これらのLANアナライザには、それぞれ以下のような区分がある。

• LANアナライザの区分毎の特徴

  #	区分	特徴
  1	ハードウェア LANアナライザ	長所	持ち運びが容易。下位レイヤのトラブルシュートに優れるため、ケーブル品質の調査、エラーフレームの測定が可能。
  		短所	ソフトウェアLANアナライザと比べ、統計・レポート出力、しきい値の設定と警告の出力、パケットの分析などの機能が劣る。
  		価格	一般的に高価である。
  2	商用ソフトウェア LANアナライザ	長所	統計・レポート出力、しきい値の設定と警告の出力などの機能が優れている。
  		短所	NICドライバでキャプチャ可能である必要があるので、下位レイヤのトラブルシュートが難しい。
  		価格	一般的に高価である。
  3	OSSソフトウェアLANアナライザ	長所	プロトコル毎のパケットの分析機能に関しては、商用アナライザを凌ぐ（バージョンアップの頻度の多さも強み）。
  		短所	NICドライバでキャプチャ可能である必要があるので、下位レイヤのトラブルシュートが難しい。
  		価格	無償で利用可能。

• Wiresharkは、OSSソフトウェアLANアナライザ。
  下位レイヤの、ケーブル品質の調査、エラーフレームの測定などの用途には利用できない。

インストール †

ダウンロード †

以下からWindows版のWiresharkのインストーラをダウンロード

• Wireshark: Download
  http://www.wireshark.org/download.html

インストール †

• デフォルト設定でインストールする。
• 基本的にデフォルトのインストールで問題ない。
• 以下、インストール オプションの注意点のみ抜粋して説明する。

• (a) のインストール オプションは、
  • Wiresharkのインターフェイスのオプションで、
    前バーションのEtherealのインターフェイスで利用したい場合は、
    「Wireshark（legacy GTK1 user interface）」を選択する。
  • ココでは「Wireshark（GTK2 user interface）」前提で説明を進める。

• (b) のインストール オプションは、
  • WinPcapをインストールするかどうかのオプションである。
  • Wiresharkのパケット キャプチャに必須のソフトウェアである。
  • 既にインストールされている場合を除いて必ずインストールする。

• (c) のインストール オプションは、
  • Administrator権限を持たないユーザでもパケット キャプチャができるように、システム起動時にNICドライバをロードする設定である。
  • Wiresharkはプロミスキャスモードのパケット キャプチャが可能であり、セキュリティ上好ましくないので、
    プロミスキャスモードを必要としない場合は、基本的にこのオプションは有効にすべきでないと考える。

インストールが完了したら、Wiresharkを起動する。

キャプチャ準備 †

[Capture Interfaces]ダイアログ †

キャプチャは、メニューの[Capture] → [Interface]で表示される以下の[Capture Interfaces]ダイアログで、
監視対象のインターフェイス（NIC）の[Start]ボタンを押して開始させる。

[Capture Option]ダイアログ †

• キャプチャ オプションを設定したい場合は、[Option]ボタンをして、[Capture Option]ダイアログを表示する。
• [Capture Option]ダイアログでは、キャプチャ オプションを確認・変更する。

• 初めに、(1)を選択し、
• 重要な設定として以下の(3)/(6)/(7)の辺りを設定・確認する。
• その他の設定は、必要に応じて設定・確認する。
• 設定が完了したら、[Start]ボタンを押してトラフィックの監視を開始できる。

設定項目 : (1) 監視対象のインターフェイス（NIC）を選択 †

• 初めに、(1)を選択し、監視対象のインターフェイス（NIC）を選択する。

設定項目 : (2) 監視に使用するメモリ量 †

• 監視に使用するメモリ量を設定する。
• ファイル保存しない場合や、ファイル保存する場合にファイルI/Oによる
  性能低下を防ぐためのバッファリング処理に必要なメモリ量を設定する。

設定項目 : (3) プロミスキャス モード †

• プロミスキャス モードのオン・オフを設定する。
• プロミスキャス モードで監視する場合、このチェック ボックスをオンにする。

設定項目 : (4) パケットのデータ サイズ †

• キャプチャするパケットのデータ サイズを設定する。
• 設定がオフの場合、全てのデータをキャプチャする。
• オンにしてサイズを設定した場合、指定サイズより後ろのデータは切り捨てられる。

設定項目 : (5) キャプチャ フィルタ †

• キャプチャするデータをフィルタする設定をする。
• Wiresharkでは、これをキャプチャ フィルタと呼ぶ。
• フィルタ設定については、後述のキャプチャ フィルタ設定の項で説明する。

設定項目 : (6) リアルタイム更新 †

• リアルタイムにパケット リストを更新するかどうかを設定する。
• リアルタイムにトラフィックを参照したい場合は、[Update list of packets in real time]チェック ボックスをオンにする。
• また、パケット リストの自動スクロールの設定は、[Automatic scrolling in live capture]チェック ボックスで設定する。
• また、[Hide capture info dialog] チェック ボックスがオフの場合、
  [Capture Info]ダイアログが表示され、簡単な統計情報を確認できる。

設定項目 : (7) ファイル保存 †

• キャプチャしたデータのファイル保存に関する設定をする。
• ファイル名、ローリング方法、保持するファイルの最大数などを設定する。

設定項目 : (8) 名前解決 †

• 名前解決に関する設定をする。
• この設定を有効にすると監視処理の性能が悪化することがあるので、
  名前解決は、キャプチャ後に実行することを推奨する。
  • [Enable MAC name resolution]は、MAC → メーカの名前に名前解決する。
  • [Enable network name resolution]は、IP → マシン名・FQDN名に名前解決する。
  • [Enable transport name resolution]は、ポート番号 → サービス名に名前解決する。

設定項目 : (9) 監視の停止方法 †

• パケット キャプチャの停止方法を設定する。
• キャプチャしたパケット数、データ量、時間などで設定できる。
• ファイル保存をする場合、データ量による停止は無効になる。

キャプチャ フィルタ †

[Capture Option]ダイアログの[Capture Filter]テキスト ボックスにキャプチャ フィルタ用のフィルタ式を入力する。
（このキャプチャ フィルタ用のフィルタ式は、後述のディスプレイ フィルタ用のフィルタ式とは異なるので注意する）

フィルタの例から選択する †

[Capture Option]ダイアログの[Capture Filter]ボタンを押せば、
[Capture Filter]ダイアログ ボックスが表示され、フィルタの例からフィルタ式を選択できる。

• [Filter]リスト ボックスからフィルタの例を選択し[OK]ボタンを押すと、
  [Capture Filter]テキスト ボックスに対応するフィルタ式が設定される。
• また、[New]ボタンを押して新しいフィルタの例を作成することもできる。

フィルタ式・演算子 †

キャプチャ フィルタには、幾つかのフィルタ式、演算子が用意されている。

詳細は、下記のサイトを参照のこと。

• The Wireshark Wiki > CaptureFilters?
  http://wiki.wireshark.org/CaptureFilters
• Wireshark USER's Guide > 4.8. Filtering while capturing
  http://www.wireshark.org/docs/wsug_html_chunked/ChCapCaptureFilterSection.html

キャプチャ開始 †

[Capture form （インターフェイス名）]ダイアログ †

• メニューの[Capture]を選択し[Interface]をクリックする。
• すると、[Capture Interface]ダイアログにインターフェイス（NIC）一覧が表示されるので、
  トラフィックを監視するNICの[Option]ボタンを押して、前述の設定をした後に、
  [Hide capture info dialog] チェック ボックスのチェックを外し、[Start]ボタンを押す。

• これにより、以下の[Capture form （インターフェイス名）]ダイアログが表示され、全体の統計情報を確認しながらトラフィックを監視できる。
• このダイアログの、 [Stop]ボタンが押されるか、停止設定値に達するまで、トラフィックの監視が継続される。

• 以下の図は、NIC監視中の[Capture form （インターフェイス名）]ダイアログである。

• [Capture form （インターフェイス名）]ダイアログから、
  • 一般的なネットワークでは、殆どのトラフィックはTCP/IP（ファイル共有・HTTP）であり、
  • 次いでUDP（DHCPのブロードキャスト、DNSクエリ）などのプロトコルであることが確認できる。
  • その他のプロトコルとしては、ARP（イーサネットで内のIP → MACのアドレス解決）を確認できる程度である。

補足 †

• 現在のWindowsネットワークでは、NetBIOS （NBT）が使用されているので、
  この画面ではNetBIOS（NetBEUI）プロトコルのパケットは確認できない。
• 稀に、プリンタ サーバなどが発するNetBIOS（NetBEUI）のパケットが確認できる程度である。
• NetBIOS （NBT）が使用されていることは、キャプチャ後、次節で説明する画面から確認できる。

例えば、

• NetBIOSの名前解決であるNetBIOSネーム サービス（NBNB）
• ブラウジング機能などが使用するNetBIOSデータグラム サービス（NBDS）
• ファイル共有（SMB）などが使用するNetBIOSセッション サービス（NBSS）

を確認できる。

キャプチャ結果の確認 †

GUIの確認 †

キャプチャを終了すると以下のような画面が表示される。ここには、主要な表示部位を示す。
※ メニュー バーの[View]で対応する表示部位 のチェックを外すと表示を消すことができる。

以下、それぞれの表示部位に表示される表示項目について説明する。

メニュー バー †

[メニュー バー]は、Wiresharkの各機能を呼び出す際に使用する。使用方法は後述する。

ツール バー †

[ツール バー]には、良く使う機能がボタンとして用意されている。以下、良く使う機能のボタンをピックアップして説明する。

• 
  • ファイルの、オープン、セーブ、クローズ、リロードが可能。
  • オープン・セーブの際は、対象パケットの入・出力範囲の選択も可能。

• 
  • パケット印刷ダイアログを表示し、データのプリンタ出力や
  • テキストファイル出力ができる。出力範囲・出力部位の選択も可能。
    

• 
  • パケット検索ダイアログを表示し、条件に合ったパケットに移動する。
  • 検索条件には、フィルタ式、１６進値、文字列値などが指定できる。
    

• 

  直前・直後に参照したパケットに移動する。

• 

  表示されたダイアログにパケット ナンバーを指定することで、指定したパケットに移動する。

• 

  最初・最後のパケットに移動する。

フィルタ ツール バー †

• [フィルタ ツール バー]は、キャプチャしたパケットをフィルタするときに使用する。
• Wiresharkでは、これをディスプレイ フィルタと呼ぶ
• ディスプレイ フィルタは、ディスプレイ フィルタの入力テキスト ボックスに、フィルタ式を入力する。

• 以下、[フィルタ ツール バー]のボタンについて説明する。

  #	ボタン	説明
  1	[Filter]ボタン	[Display Filter]ダイアログで、フィルタの例から選択できる。
  2	[▼]ドロップダウン リスト	過去のフィルタ式を選択できる。
  3	[Expression]ボタン	[Filter Expression]ダイアログで、フィルタ式を参照できる。
  4	[Clear]ボタン	フィルタ式をクリアする。
  5	[Apply]ボタン	フィルタ式を適用する。

#ref(): File not found: "DisplayFilterDialog.png" at page "Wiresharkの操作方法"

[Display Filter]ダイアログについては、「フィルタの例から選択する?」で説明する。

[Filter Expression]ダイアログについては、「高度なフィルタ式の作成方法?」で説明する。

パケット一覧部 †

• [パケット一覧部]には、キャプチャしたパケットの概要がレコード一覧として表示される。

• 1行に付き1パケット（フレーム）が表示され、簡単な説明が表示される。

• 以下、レコードのカラムについて説明する。

• 上記のレコードは、ファイル共有（SMB）機能で、
  • ファイルを送信する「Write AndX Request」コマンドと、
  • 送信ファイルのデータ部が分割されたTCPパケットである 。
  • [TCP segment of a reassembled PDU]という情報は、
    • TCPでストリームに書き込んだデータのサイズが大き過ぎるため、
      IPレイヤで複数のIPパケットに分割されたことを意味する。
    • この情報は、後述するWiresharkにより生成された追加情報
      であり、パケットのデータ中には含まれない。

• これらの分割されたパケットは、ファイル共有（SMB）によるものであるが、
  • SMBのコマンド情報が含まれないのでプロトコル パーサが反応せず、表示上は純粋なTCPのパケットとして表示される 。
  • SMBの「Write AndX Request」コマンドのパケットには、データ長=61440バイトと表示されているので、
    「Write AndX Request」コマンドによる通信データは、イーサネット上でのIPパケットのデータ部の最大サイズである
    1460バイト毎に分割されて送信される（この場合、61440 ÷ 1460 ＝ 43個のIPパケットに分割される）。

パケット詳細部 †

• [パケット詳細部]には、[パケット一覧部]で選択したパケットの詳細情報が表示される。
• プロトコル パーサによって解釈された情報がレイヤ毎に表示される。
• レイヤ : フレーム → イーサネット フレーム → IPパケット → 上位プロトコルの情報

• [パケット詳細部]の情報を選択した状態で右クリック、
  [Copy] → [Description]を選択することで、[パケット詳細部]の情報をコピーできる。
  このコピーした情報を検索（Find）機能で使用できる。

• また、[パケット詳細部]には以下の追加情報が出力される
  （これらの情報はパケットのデータ中には含まれないので注意する）。
  • TCPパケットの前後の関係をWiresharkが判断して自動生成性した追加情報（Generated fields）、
  • 他のパケットへのリンク（Link）

• 例えば、パケット詳細部の[SEQ/ACK Analysis]フィールドには、
  • シーケンス番号・ACK番号からTCPの通信シーケンスを分析するための追加情報・リンクが付与される。
  • 以下の図に示す[This is an ACK to the segment in frame: xx]という追加情報・リンクは、
    このパケットがリンク先のパケットに対するACKであることを示す。

• [パケット一覧部]の簡易情報に表示されていた[TCP segment of a reassembled PDU]という情報も、この追加情報である。
• [パケット詳細部]を確認すると、下記情報が表示されていることを確認できる。
  • [Reassembled PDU in frame: xxxx]という追加情報
  • IPレイヤで分割されたパケットを束ねるリンク

• Wiresharkは、
  • ノードが同一TCPコネクション上で初めのパケットの送信（・受信）を開始してから、
  • TCP のPushフラグ 付きのパケットを送信（・受信）するまでの、
    • Pushフラグ（TCPフラグ）は、TCPの受信バッファのデータをアプリケーションに送るように、送信側が受信側に対して指示するためのフラグである。
    • その他のTCPフラグについては、「TCPセグメント詳細情報（TCPフラグ）から異常を確認する?」で説明する。

• 一連のパケット に、[TCP segment of a reassembled PDU]追加情報・リンクを付与しているものと思われる。
  • これは、TCPストリームへの１回の書き込み（読み込み）に相当する。
  • TCPストリームについては「TCPストリームで上位プロトコルを確認する?」を参照のこと。

• 以下は、Pushフラグ付きのSMBの「Write AndX Request」コマンドのパケットである。
  「Write AndX Request」コマンドのパケットを確認すると、分割されたIPパケットへのリンクを確認できる。

• また、トランスポート層のプロトコル（TCP、UDP）より上位のプロトコルである
  DNS 、HTTPなどのプロトコルでも、それぞれのプロトコル パーサによって追加情報・リンクが付与される。
  • 例えば、DNSクエリ（パケット）を参照すると、このDNSクエリに対するレスポンス（パケット）へのリンクを確認できる。

• また、以前のバージョンでは、パケット データ部から読み取るしかなかったHTTPのエンティティ ボディの情報が、
  Version0.99.7のプロトコル パーサからパケット詳細部の[Line - Based text data]フィールドに
  テキストとして出力されるようになった（ただしASCII以外の文字は正しく表示されない）。

パケット データ部 †

• [パケット データ部]では、[パケット一覧部]で選択したパケットの情報が表示される。

• 以下は、HTTPリクエスト（GETメソッド）のパケットで左からアドレス、16進ダンプ、ASCIIが表示される。
• ただし、ASCII 以外の文字コード（Shift JIS、UTF-8）のエンコーディングに対応していないので使い難い。

ステータス バー †

画面の最下部の[ステータス バー]には、

• 現在のプログラムの状態、
• パケット
  • 取得したパケット(Packets)
    • 現在、開いているファイル中のPacketの数
  • 表示中のパケット(Displayed)
    • フィルタなどをかけた場合、表示されているPacketの数
  • マークされたパケット(Marked)
    • マーク したPacketの数
    • [パケット一覧部]でパケットを選択した状態で、メニューの[Edit]にある[Mark Packet]を選択することでパケットのマークが可能。
    • その他にも、[Mark All Packet]、[UnMark? All Packet]、[Find Next Mark]、[Find Previous Mark]などの操作が可能。

などの情報が表示される。

ディスプレイ フィルタ †

HTTPのキャプチャ †

• Wiresharkは、OSI参照モデルで言う所の第4・5層のキャプチャをする。
• 従って、キャプチャした情報は、フレームやパケット単位で見ることになる。

• HTTPのリクエスト・レスポンス(OSI参照モデルで言う所の第6層以上)
  のコンテンツについては、[Follow TCP Stream]で確認することができる。
  • Wiresharkで特定の通信セッションだけを抽出して表示する － ＠IT
    http://www.atmarkit.co.jp/fwin2k/win2ktips/1048wsharkstream/wsharkstream.html
  • [Follow TCP Stream]の結果、リクエスト・レスポンスの見た目が、
    HTTP 100-continue などによりキレイに繋がらないことがあります。
    • HTTP 100-continue - ..たれろぐ..
      http://d.hatena.ne.jp/naga_sawa/20101114/1289709797
    • また、全角文字が「・」で表示され確認できません。

参考 †

Wiresharkの使い方 †

下記を参照下さい。

• ネットワーク入門サイト - Wiresharkの使い方
  http://beginners-network.com/wireshark.html
• Wiresharkで特定のプロトコルだけを表示させる － ＠IT
  http://www.atmarkit.co.jp/fwin2k/win2ktips/1050wsfiltproto/wsfiltproto.html
• Wiresharkで特定の相手との通信だけを表示させる － ＠IT
  http://www.atmarkit.co.jp/fwin2k/win2ktips/1065wsfiltaddr/wsfiltaddr.html
• Wiresharkで特定の通信セッションだけを抽出して表示する － ＠IT
  http://www.atmarkit.co.jp/fwin2k/win2ktips/1048wsharkstream/wsharkstream.html

WinPcap? †

• WinPcap?は、パケット キャプチャに関する機能を提供するソフトウェア
• 以下のモジュールから構成される。
  • システム非依存型の「wpcap.dll」
  • ローレベル ライブラリ「Packet.dll」
  • カーネル モードのNDIS中間ドライバ「npf.sys」
• Wiresharkでは、WinPcap?を使用してパケット キャプチャを行っている。

tshark †

tsharkというCUI版も存在する様です。

---

Tags: :通信技術, :障害対応, :性能, :デバッグ, :Windows

     

Site admin: dotNetDevelopmentInfrastructure

PukiWiki 1.4.7 Copyright © 2001-2006 PukiWiki Developers Team. License is GPL.
Based on "PukiWiki" 1.3 by yu-ji. Powered by PHP 5.3.3. HTML convert time: 0.073 sec.