Wireshark 
このページではWiresharkの使い方をまとめます。
目次 |
インストール
Windowsでは次のサイトからインストーラを次のサイトからダウンロードします。
Linuxの場合は最近のディストリビューションではインストールCDに含まれているので、インストール時にインストールすることも出きるし、パッケージマネージャからインストール可能だと思います。yumとか
フィルター
Wiresharkのフィルターには2種類あります。
- ディスプレイフィルタ
- キャプチャ結果を表示する際のキャプチャ
- キャプチャフィルタ
- パケットをキャプチャする際のフィルタ
それぞれのフィルタの使い分けについてですが、解析の初期はまず、すべてのパケットをキャプチャし、ディスプレイキャプチャで絞り込むのがいいでしょう。 解析したい端末やプロトコルがはっきりした時点でキャプチャフィルタも設定して絞り込むのがいいでしょう。
ディスプレイフィルタ
プロトコルを絞り込む
例えばHTTP通信のみに絞り込む時には次のようにFilter欄に書き込みapplyをクリックします。
http
プロトコルには他にtcp、udp等が使えます。
プロトコルとポートで絞り込む
tcpとudpではさらにポートで絞り込むことが可能です。
tcpの22番ポート(SSH)で絞り込む時には次のようにします。
tcp.port == 22
UDPも同様です。次の例はDNSクエリで絞り込む例です。
udp.port == 53
IPアドレスで絞り込む
IPアドレスで絞り込むには次のように書きます。
ip.addr == 絞り込みたいIPアドレス
例えば192.168.1.10で絞り込むなら
ip.addr == 192.168.1.10
特に送信元(Source)や送信先(Destination)で絞り込む時にはip.addrの代わりにそれぞれ ip.src、ip.dstを使います。
その他の絞り込み条件
| 条件 | 説明 |
|---|---|
| tcp.srcport | TCPの送信元ポートを指定 |
| tcp.dstport | TCPの送信先ポートを指定 |
| eth.addr | マックアドレスを指定 |
| eth.src | 送信元のMACアドレスを指定 |
| eth.dst | 送信先のMACアドレスを指定 |
条件の組み合わせ
条件は組み合わせて使うことができます。 組み合わせる順序や範囲は()を使うことにより調整可能です。
| 演算子 | 意味 |
|---|---|
| and, && | 論理積(A かつ B) |
| or, || | 論理和(A または B) |
| xor, ^^ | 排他的論理和 |
| not, ! | 条件式の否定 |
例
フィルタ条件を保存する
繰り返しよく使うフィルタ条件を保存しておくことができます。
ディスプレイフィルタ
メニューの「Analyze」-「Display Filters」を選択するか、Filter欄の左のボタンをクリックするとDisplay Filterウィンドウが開きます。
ウィンドウの左ペインの「New」ボタンをクリックすると新しい行がfilterペインの一覧に追加されるので、ウィンドウ下部のFiler nameとFilter stringを入力すると新たな条件を追加することができます。
tcpdumpの出力をwiresharkで見る
tcpdump -i IF名 -s 1500 -w 出力ファイル名
