Zenn
🎷

[WireShark・初級編]基本的なパケット検索方法

2022/10/30に公開
Wireshark
パケット
パケットキャプチャ
traffic
尾ひれ
tech

現在、組み込み系アプリケーションのソリューション開発に携わっています。ソケット通信のパケットに異常がないかを確認するために、 WireShark を用いたので基本的な使用法についてまとめました。🪁🦈
「全く知識がない」段階から「使用法については理解している」段階(パケットリストから特定パケットを選択可能)になりました。議事録を兼ねてつらつらと。。。

2022年10/23 現在での内容です。

WireShark とは

概要

LAN 上に流れているパケットを「見える化」するオープンソースのパケットキャプチャツール(LAN アナライザ)[1]
(通信の中身を確かめるツール🏥🩺)

目的

開発者のデバッグや、ネットワークのトラブルシューティングなど

使用環境

様々な OS に対応しています。🐙🐙

  • Windows
  • Mac OS
  • Linux

⇓ バージョン 4.0.0対応 OS。

インストール方法

ダウンロードページ から取得します。
WireShark はキャプチャツール Npcap を使用するため、インストール手順に Npcap インストールが含まれます。私の場合、既に他アプリのインストール時に Npcap もインストールしていたため、不要でした。下記ページが分かりやすかったです。

参考

使用方法

1. キャプチャ開始 ▶

使用している通信には波形が表示されていくので、ダブルクリックまたは選択して青い尾ひれ🐬ボタンをクリックします。

2. 時刻表示 🕓

私の場合、「Time」行のデフォルトが「最初にキャプチャしたパケットからの経過時間」で表示されていましたので、
「表示」タブの「時刻表示形式」項目を「日時」などに指定することで時間での追跡が可能となり、パケットの解析をしやすくなります。

3. ファイル保存 📃

「ファイル」タブ「保存」あるいは「...として保存」項目を選択、または、再度青い尾ひれ🐬ボタンをクリックすると保存確認のダイアログが表示されますので、ファイル名を記載して保存します。デフォルトでは、 pcapng (ピーキャップエヌジー)拡張子になっています。保存した pcapng ファイルはエクスプローラーなどから開くことで再度 WireShark で解析を行うことができます。

4. 解析 🖥

4.1 パケット方法表示名

WireShark に表示されるパケット情報の項目は下記になります。

名称 説明
No. 通し番号
Time 時間
Source 送信元 IP アドレス( MAC アドレス)
Destination 送信先 IP アドレス( MAC アドレス)
Protocol プロトコル
Length パケットの長さ( byte )
Info パケットの詳細情報

4.2 特定パケットの検索方法

知りたいパケット情報を取得するために WireShark ではフィルタリングや検索機能が有効的です。

4.2.1 フィルタリング

タブ一覧下の青いリボンのような項目に httpsip.addr == 〇〇〇.〇〇〇.〇〇.〇〇 などの条件を入力することで特定の情報のみを表示することができます。

  • 入力文字は小文字のみ有効(【Ex】 HTTP と入力しても該当0)
  • コマンドプロンプトのように矢印キーで履歴を入力可能
  • 演算子、条件式も使用可能
  • 文字を入力すると予測文字が列挙表示
検索例 指定条件
ip.addr == 192.168.1.2 送信元もしくは送信先の IP アドレス
tcp.port eq 80 送信元もしくは送信先のポート番号
ip.src == 192.168.1.2 && ip.dst != 192.168.3.4 送信元 IP アドレス及び送信先 IP アドレス

4.2.2 検索

「編集」タブ「パケットの検索...」あるいは「次を検索」、「前を検索」項目を選択、または、虫眼鏡🔍 ボタンをクリックすると検索窓が表示されます。

個人的に有効的だと感じたのは左端のプルダウンから「パケット詳細」、右端のプルダウンから「文字列」を選択して検索することで、「Info」行で該当する文字列を検索することでした。

導入学習 ✏

https://www.udemy.com/course/packetcapture/
WireShark の基本的な操作方法から丁寧に解説しており、実際に http 通信のパケットをキャプチャして解析までを実践できるため、WireShark 初めましての方にはオススメです。

まとめ 🎃

  • WireShark とは LAN 上に流れているパケットを「見える化」するツール
  • パケットの特定にはフィルタリング及び検索機能を用いる
脚注

  1. https://hldc.co.jp/blog/2020/04/15/3988/ ↩︎

Discussion