Wiresharkの使い方
yasushi.harigaiはじめに
Wiresharkとはオープンソースのパケットキャプチャ・アナライザソフトです。
多くのプロトコルを解析することが出来、様々なOSで利用する事が出来ます。
Wiresharkのインストール方法
ここではWindowsにインストールする手順について説明します。
以下のURLへアクセスしてインストーラをダウンロードします。
インストーラを起動してインストールします。
カスタマイズせずにデフォルト設定のままインストールを進めても問題ありません。
Wireshark起動・ファイルオープン
インストールが完了したら、スタートメニューからWiresharkを起動します。
メニューバーの[ファイル]-[開く]を選択してキャプチャファイルを開きます。
Wiresharkの画面の見方
キャプチャデータを開くと以下の様な画面が表示されます。
見るポイントとして以下の3点を説明します。
主に見るのは①で、必要に応じて②の内容を確認する形で、③を見る場面は殆どありません。
①パケット一覧部
開いたデータの一覧が表示されます。
初期設定では、1.キャプチャ時刻、2.送信元、3.宛先、4.プロトコル、5.パケットの概要が表示されています。
表示内容はカスタマイズする事が出来ます。
②パケット詳細部
パケット一覧で選択したパケットの詳細が表示されます。
③パケットデータ部 パケット一覧で選択したパケットの生のデータが表示されます。
Wiresharkの表示項目のカスタマイズ方法
パケット一覧部で表示される項目は自由に追加・削除する事が出来ます。
経験上、標準の項目に加えて送信元と宛先のMACアドレス、ポート番号を表示するとパケットの確認がスムーズに出来る様に感じます。
表示項目の追加方法について説明します。
①パケット一覧部の項目名を右クリックして[列の設定…]をクリックします。
②設定画面下部の[+]ボタンをクリックすると新規列が追加されるので、題名、種別を設定します。
ここでは以下の4項目を追加しています。
| No. | 項目 | 題名 | 種別 |
| 1 | 送信元MACアドレス | Src.MAC | Hardware src addr |
| 2 | 宛先MACアドレス | Dst.MAC | Hardware dest addr |
| 3 | 送信元ポート番号 | Src.Port | Source port |
| 4 | 宛先ポート番号 | Dst.Port | Destination port |
③追加した項目をドラッグして好きな位置に移動します。
今回は以下の画像の様に並べました。
④項目追加後のパケット一覧部です。
パケット詳細部で確認しなくても、送信元と宛先のMACアドレス、ポート番号を確認出来る様になりました。
Wiresharkを使用したパケットの確認
Wiresharkはパケットキャプチャ・アナライザソフトなので、パケットを確認するだけでなく、キャプチャする事も出来ます。
ただし、単純にパケットキャプチャするだけでは、インストールしたPC自身が送受信するパケットしかキャプチャ出来ない為、他の端末の送受信するパケットをキャプチャするためにはキャプチャ専用のPCやミラーポート機能付きのスイッチングハブ等を準備する必要があります。
当社の製品であるパケットキャプチャ装置FN0930を使用してキャプチャしたパケットをWiresharkで確認する方法について説明します。
以下のネットワーク構成でPC1とPC3が通信をしている時にPC1と同じIPアドレスを持つPC2がネットワークに接続された時を例とします。
PC2はネットワークに接続するも、なぜかPC3と通信できない、と言う状態になっています。
通常このような状況の場合、PCに「IPアドレスの競合が検出されました」とポップアップメッセージが表示されるはずですが、何もメッセージが表示されない場合があり、「ネットワークにつながらないけど理由が分からない」となってしまいます。
PC3が送受信しているパケットをキャプチャポイント①でキャプチャしてPC2が通信できない原因を確認していきます。
キャプチャしたパケットの内、PC2(MACアドレス=c4:7d:46:1b:12:76)が送信しているパケットのみ表示する様にフィルタをかけます。
フィルタ条件入力欄に”eth.addr == c4:7d:46:1b:12:76”と入力しするとPC2が送信するパケットのみが表示されます。
表示された内容を見ると、以下の様な動作をしている事が分かります。
①10.1.0.10を使用している端末がいるか確認(ARP Probe)
②169.254.173.71を使用している端末がいるか確認(ARP Probe)×3回送信
③169.254.173.71を使用すると通知(ARP Announcement for 169.254.173.71)
これはPC2が10.1.0.10を使用しようとするも、PC1が使用中(※)の為、 IPアドレスの重複を避ける為にリンクローカルアドレス(169.254.XXX.XXX)と言う特別なIPアドレスを割り当てています。
この事から、IPアドレスが重複しているので、PC2のIPアドレスを変更することでPC3と通信が出来ない問題を解決できる事が分かります。
※キャプチャポイント①ではPC1⇔PC2間のパケットはキャプチャできないので見えませんが、PC2が①のARP Probeを送信後にPC1がPC2へARP Replyを返信して10.1.0.10が使用中であることを通知しています。
通信異常・遅延等にお困りの方は、是非、以下のページもご覧ください。
