Wiresharkでパケット解析する 基本編
今更ですが!
普段、僕が良く使うWiresharkの基本的な使い方を書いておきます。
今後セキュリティの勉強でハッキング系の本を購入予定の方は
高確率で出現してくるツールですので、
そういった本を購入予定の方はお世話になるかと思います。
Wiresharkって何ができるの?
Wiresharkは言わずと知れたパケット解析ツールで
PCやサーバ、ネットワーク機器などに流れるパケットをキャプチャできます!
Wiresharkのインストール
インストール手順は長くなってしまいますので、
以下のサイトを参考にしていただければ簡単にインストールできるかと思います。
www.ipentec.com
Wiresharkでパケット解析
パケットキャプチャの開始
Wiresharkを起動するとPCで利用しているネットワークインターフェイスと、
そのインターフェイス上を流れるトラフィック量が
リアルタイムで心拍数みたいなグラフに表示されています。
パケットキャプチャ対象のネットワークインターフェイスをクリックすると
パケットキャプチャを開始できます。
キャプチャを開始すると指定したネットワークインターフェイスを流れる
パケットの情報がどばどば流れ始めます。
これで、キャプチャされているすべてのパケット情報が見れる状態となりました。
ただ、このままでは情報量が多く追うのが大変です。
より詳細にパケット情報を解析したい場合はフィルタ機能使う必要があります。
フィルタ機能について
表示フィルタ
Wiresharkのデフォルト設定は、キャプチャされたすべてのパケット情報が
どばどば流れてきて情報を追うのが大変になることがあります。
そうゆう時に使えるのが「表示フィルタ」機能です。
例えば、「表示フィルタ」にtcpでフィルタをかけると
TCPを利用しているパケット情報のみが表示されるようになります。
以下に使用できるフィルタ一覧が書いてあるマニュアルを載せておきます。
いろいろ試していただければと思います。
www.wireshark.org
また、「表示フィルタ」はキャプチャされたデータから必要な情報のみを抜き出して表示するので 長時間のキャプチャをおこなうとファイルサイズが大きくなりがちです。
キャプチャフィルタ
Wiresharkには「表示フィルタ」とは別にキャプチャ時にあらかじめ指定した
パケットだけを取得する「キャプチャフィルタ」という機能があります。
キャプチャの実行時に「このフィルタを利用」欄にフィルタしたい内容を
記載しキャプチャを開始します。
僕がよく使う項目を以下にいくつかまとめておきました。
| 記述例 | フィルタ内容 |
|---|---|
| ether src <MACアドレス> | 送信元が指定したMACアドレスのイーサネット |
| ether host <MACアドレス> | 送信元または宛先が指定したMACアドレスのイーサネット |
| ip src host <IPアドレス> | 送信元が指定したIPアドレスのパケット |
| ip host <IPアドレス> | 送信元または送信先が指定したIPアドレスのパケット |
| ip | IPv4のパケット |
| tcp | TCPパケット |
詳細や具体例については以下のmanページに書いてあります。 www.tcpdump.org
また、「キャプチャフィルタ」は特定のパケットのみをキャプチャすることができるので
長時間のキャプチャをおこなってもある程度ファイルサイズを削減できるので
個人的に「キャプチャフィルタ」がオススメです。
パケットキャプチャの色分けルールについて
流れてくるパケット情報を見ているといくつか色のついたパケット情報があります。
Wiresharkには「色付けルール」機能があり、
パケットの種類ごとに項目が色分けをして通信内容を区別できるようできます。
以下のようにメニューバーから「色付けルール」を選択すると設定内容が確認できます。
初期設定はこんな感じです。
自分好みに設定変更したい方は以下を参照していただければ何かつかめるかと思います。 wiki.wireshark.org
まとめ
より詳しく書いていきたかったのですが、
長くなりそうだったので基本編として今回は簡単な機能紹介としました。
いくつか公式ドキュメントを添付しましたが読んでも「よくわからん!」と
なるかと思いますので、より詳細に各機能をピックアップした記事を書いていきます。
なので、今回はインストールした後簡単なパケットキャプチャまでとしました。
気になる方は以下の「パケットキャプチャの教科書」などを読んでみるのもいいかもしれません。 個人的にオススメです。 honto.jp
