Zenn

Day 20: Wireshark入門 - ネットワーク解析ツールの基礎

2024/11/18に公開
Wireshark
tech

はじめに

Wiresharkは、ネットワーク解析の世界で人気のあるツールの一つです。ネットワークトラフィック(通信データ)をキャプチャして詳細に解析できるため、トラブルシューティングやセキュリティ監視、学習用途で広く利用されています。
今回は、Wiresharkの基本操作や主な機能を解説していきます。

ネットワークの仕組みを学びたい方や、ハッカーの手法を理解したい方にとって、Wiresharkは必須ツールです。簡単にその使い方を学んでいきます。

Wiresharkとは?

Wiresharkは、オープンソースで提供されているネットワークパケットアナライザです。ネットワーク上を流れるデータ(パケット)をキャプチャ(PCAP形式)し、それを分解・解析して詳細な情報を表示します。少しおさらいをすると、パケットとは、TCP/IPモデルにおけるインターネット層で扱われるデータの単位の名称です。

つまり、ネットワークパケットアナライザは、ネットワークを流れるデータをパケット単位でキャプチャし、これを解析するツールのことを指します。Wiresharkのようなツールを使うことで、通信内容の中身(プロトコル、送信元・宛先、データの種類など)や、ネットワークで発生している問題の原因を詳細に調べることができます。

主な用途

Wiresharkは、ネットワーク管理者やセキュリティエンジニアにとって非常に強力なツールであり、さまざまな場面で利用されています。

  • トラブルシューティング
    ネットワーク接続が遅い、特定のデバイスが通信できないなどの問題の原因を特定する際に役立ちます。

  • セキュリティ監視
    ネットワーク内での不正アクセスや、疑わしいトラフィック(例えば、ポートスキャンやマルウェアの通信)を検出します。

  • 学習
    TCP/IPやHTTP、DNSなどのプロトコルが実際にどのように動作しているかを観察し、仕組みを深く理解できます。

  • トラフィック分析
    ネットワーク上のデータフローや帯域使用率を可視化し、改善点を見つけるために使用されます。

特徴と採用

Wiresharkが広く利用されている理由には、以下のような特徴があります。

  1. GUIベースで使いやすい
    初心者でも扱いやすい直感的なインターフェースを備えており、クリック操作で詳細な分析が可能です。

  2. 幅広いプロトコル解析に対応
    Wiresharkは、HTTP、DNS、FTP、TCP、UDPなど、何百種類ものプロトコルを解析する能力を持っています。

  3. 高度なフィルタリング機能
    膨大な量のパケットデータを効率よく分析するため、フィルタリングや検索機能が充実しています。たとえば、特定のIPアドレスやプロトコルに限定してデータを表示できます。

  4. キャプチャデータの保存・共有
    キャプチャしたデータをPCAP(Packet Capture)形式で保存し、後で分析したり、他のツールや同僚と共有することが可能です。

また、以下のような理由から初心者から上級者まで幅広いユーザーに採用されています。

  • 無償で利用可能:誰でも無料でダウンロードし、使い始めることができます。
  • クロスプラットフォーム対応:Windows、macOS、Linuxなど、多くのOSで動作します。
  • コミュニティの充実:世界中のユーザーが利用しているため、情報や学習リソースが豊富です。

Wiresharkのインターフェース

Wiresharkの画面は主に以下の3つのセクションに分かれています:

  1. パケットリストペイン
    キャプチャした全パケットの概要を表示します。送信元・宛先IPやプロトコル、タイムスタンプなどを確認できます。

  2. パケット詳細ペイン
    選択したパケットの詳細情報を表示します。プロトコルのヘッダやフラグなど、より深い解析が可能です。

  3. パケットバイトペイン
    パケットの生データ(バイナリ形式)を16進数で表示します。データの構造を直接確認できます。

パケットペインの位置

Wiresharkの基本操作

ここでは、Wiresharkの基本的な操作方法を紹介します。

1. キャプチャの開始

  1. Wiresharkを起動し、ネットワークインターフェース(例:Wi-Fiやイーサネット)を選択。
  2. 「Start」ボタン(左上のサメの背びれ)をクリックすると、リアルタイムでパケットのキャプチャが始まります。

ディスプレイフィルタの活用

キャプチャしたデータが膨大になる場合、フィルタを使って必要な情報だけを絞り込みます。

  • HTTP通信のみ表示:
    http
  • 特定のIPアドレスを絞り込む:
    ip.addr == 192.168.1.1
  • DNSトラフィックを見る:
    dns(通常UDPポート53を使用。大きなデータ送信時はTCPを使用することもある)

他にもドメインを使用してフィルタリングしたり、OR条件にするなど。膨大な情報を確認していくのにフィルタはとても便利です。

3. キャプチャデータの保存と解析

  • キャプチャデータを保存して後で解析することも可能です。
    **「File」→「Save As」**からファイル形式を選択して保存できます(標準形式は.pcapng)。

  • 他のユーザーが提供したキャプチャデータをインポートして分析することもできます。

パケット解析の実例

Wiresharkでキャプチャしたデータを解析する簡単なシナリオを見てみましょう。

シナリオ 1:HTTP通信の解析

  1. フィルタにhttpを入力して、HTTP通信を表示。
  2. パケットリストペインから興味のあるパケットを選択。
  3. パケット詳細ペインで、HTTPリクエストやレスポンスヘッダを確認(例:GETリクエストや200 OKステータス)。

シナリオ 2:DNSクエリの追跡

  1. フィルタにdnsを入力。
  2. DNSリクエストやレスポンスを確認し、どのドメインにアクセスしたのかを特定。

Wiresharkを使用する際の注意点と法的配慮

使用時の注意

Wiresharkは非常に強力なツールですが、使用には注意が必要です。

  • 許可を得たネットワークでのみ使用
    許可のないネットワークでキャプチャを行うことは違法です。

  • 機密データの取り扱いに注意
    キャプチャデータにはパスワードや個人情報が含まれる場合があります。

トラフィック量の管理

キャプチャしたデータ量が多い場合、ストレージを圧迫することがあります。必要な範囲だけをフィルタリングして保存しましょう。

小テスト

Q1: WiresharkでHTTP通信だけを表示するためのフィルタはどれですか?
a) tcp
b) http
c) dns
d) ip.addr

Q2: キャプチャデータを保存する標準ファイル形式は何ですか?
a) .txt
b) .csv
c) .pcapng
d) .json

Q3: DNS通信を表示するフィルタはどれですか?
a) udp.port == 53
b) dns
c) ip.addr
d) tcp.port == 80

Q4: Wiresharkのパケット詳細ペインでは何が確認できますか?
a) キャプチャした全パケットの概要
b) 選択したパケットのプロトコルヘッダや詳細情報
c) 16進数で表記されたパケットの生データ
d) ネットワークインターフェースの状態

Q5: Wiresharkを使用する際に守るべき法的ルールは何ですか?
a) 許可なく他人のネットワークをキャプチャしない
b) 必要に応じて任意のネットワークでキャプチャする
c) Wiresharkを使用する際はVPNを必ず使用する
d) キャプチャしたデータは必ず暗号化する

解答

  1. Q1: b) http
  2. Q2: c) .pcapng
  3. Q3: b) dns
  4. Q4: b) 選択したパケットのプロトコルヘッダや詳細情報
  5. Q5: a) 許可なく他人のネットワークをキャプチャしない

まとめ

Wiresharkは、ネットワークを可視化し、通信の詳細を解析する強力なツールです。基本的な使い方やフィルタ設定を覚えることで、ネットワークのトラブルシューティングやセキュリティ分析に活用できます。

また、日々の運用や学習の中でもWiresharkを取り入れることで、ネットワークへの理解をより深めることができます。

Discussion