パケットキャプチャツールとして非常に優秀なWiresharkですが、ネットワークエンジニア等のIT技術者が利用するために作成されたソフトのため、初めて使用する方にとっては「使い方や画面の見方が全然分からない…」となることも多いはずです。
僕も現在はIT関連の仕事をしているのでWiresharkを業務で使用することも多いですが、使いたての頃は操作方法すらまともに分からず、常に頭の中が「???」という状態でした。
この記事では、そうしたWiresharkの使い方が難しくて悩んでいる方のために、Wiresharkの基本的な使い方および画面の見方について説明を行っていきます。
今回教えている内容が理解できれば、少なくとも「Wiresharkでパケットの収集/閲覧」が出来るようになるので、使い方が分からず困っているという方はぜひ参考にしてください!
見出し
Wiresharkの基本的な使い方(パケットキャプチャを行う)
では、ここからはWiresharkの基本的な使い方を説明していきます。
内容としては、Wiresharkのインストール方法から、実際にパケットキャプチャを行うところまで解説を行います。
こちらの内容を一通り見ていただければ、Wiresharkでネットワーク上を流れているパケットを収集・分析が出来るようになるので、ぜひ最後まで見てください。
①Wiresharkをインストールする
もしまだWiresharkのインストールが完了していない場合、まずはこちらの公式サイトからWiresharkのインストールを行ってください。
なお、Wiresharkのインストール方法については下記で詳しく解説を行っています。
②Wiresharkの立ち上げ、ネットワークのインターフェースを選ぶ
次にWiresharkを立ち上げ、現在使用しているネットワークのインターフェース(無線LAN使用時ならWi-Fi等)を選んでください。
現在通信が行われているインターフェースは画像のように名前の横に折れ線グラフが表示されているので、グラフが表示されている中から選ぶといいでしょう。
③パケットを確認する
先ほどの画面でネットワークのインターフェースを選択すると、選んだネットワークを流れているパケットが画面に表示されます。
先ほどは「Wi-Fi」を選択したので、下記の画面ではWi-Fiで通信されているパケットが抽出されています。
なお、この画面での表示される「項目」および「パケットの背景色」について解説しておきます。
▼各カラムに表示されているデータについて
項目 | 説明 |
No. | キャプチャしたパケットの通し番号。 |
Time | キャプチャ開始時点からの相対時間。 |
Source | 送信元IPアドレス|送信元MACアドレス(ベンダーコード表示あり)。 |
Destination | 宛先IPアドレス|宛先MACアドレス(ベンダーコード表示あり)。 |
Protocol | パケットで使用しているプロトコル。 |
Length | パケット全体のサイズ(バイト数)。 |
Info | パケットの詳細情報。 |
この中でパケットの分析を行う際に良く見るのは「Source」、「Destination」、「Protocol」、「Info」です。
上記の項目を見れば大まかにですが「どのIPアドレスからどのIPアドレスに送られたどんなプロトコルの通信なのか?」ということが分かるため、ここでざっくりと通信の内容を把握することが出来ます。
▼パケットの色の違いについて
上記はキャプチャ画面で表示されるパケットの色分けルールです。例えばHTTP通信の場合はパケットの背景が緑色で表示され、ICMP(ping)の場合はピンク色で表示されるなどの色分けルールが存在します。
こちらの色分けルールについて、障害調査時などで注視すべきなのが「赤色」と「黒色」のパケットです。この2つの色に変わっているパケットは通信が失敗している可能性が高いので、何かしらトラブルが起こった場合は上記のパケットを起点に調査を行うと原因が判明しやすいです。
④詳細なパケット情報を分析する
では、最後により詳しいパケット情報を調べる方法について説明します。
Wiresharkでキャプチャしたパケットのレコードを選択すると、画面の下部にパケットの詳細情報が出てきます。ここで出てきたデータを見ることで、より詳しくパケットの内容を確認することが出来ます。
例えば上記のパケットだと、送信元MACアドレス、宛先MACアドレス、送信元ポート番号、宛先ポート番号などのデータも確認できます。
このパケットだと「IPアドレスが192.168.1.1の機器のUDP:65081ポートから1947ポート宛てに発信されているブロードキャスト通信」ということが分かります。
このように、詳細データを見ることでより詳しい情報の分析が行えるようになります。
Wiresharkで知っておくと便利な機能
これまででWiresharkで基本的なパケットの表示が出来るようになったと思います。
では、ここからはWiresharkで知っておくとパケットの分析が便利になる機能について紹介を行っていきます。
①検索機能・フィルタリング機能
Wiresharkではネットワーク上を流れるパケットを見ることが出来ますが、Wiresharkで収集できるデータは非常に膨大なため、隅から隅まで確認して目的のパケットを見つけようと思うと時間がいくらあっても足りません。
そのため、Wiresharkでは収集したパケットに対して「検索」や「フィルタリング」を行って目的のパケットを探し出すのが一般的な使い方です。
例えば、下記のように「送信元IPアドレスが192.168.1.1のパケットのみを表示」などのフィルタを掛けることができます。
なお、検索機能・フィルタリング機能の詳しいやり方については下記の記事に操作方法をまとめているので、良ければご覧ください。
https://vanilla-ice.info/wireshark-filtering/
②パケットの保存
Wiresharkでは収集したパケットのデータを保存することが出来ます。データを保存しておくことで、後から詳細な分析を行ったり、他のユーザにデータを共有して問題解決を手伝ってもらったり、エビデンスとして記録しておくことが可能です。
キャプチャしたパケットの保存方法は簡単で、まず普段通りパケットキャプチャを開始していただき、その後に「停止」で一度パケットの収集を止めてから画面左上の「ファイル」→「保存」を行うだけです。
ここでファイルとして保存しておけば、Wiresharkの画面を一度閉じても、保存したデータを開くことで再度パケットキャプチャ画面を開くことができるようになります。
③グラフ機能
Wiresharkでは収集したパケットの情報を分析してグラフ化することも出来ます。単純な文字列のデータではなくグラフで表示することで障害箇所や問題となっている通信が視覚的に分かりやすくなるので、ネットワークの障害分析を行う際には非常に有用です。
グラフ画面の出し方は、普段通りパケットキャプチャを開始したのち、画面上部にある「統計」→「入出力グラフ」をクリックすることでグラフが表示されます。
グラフ画面が出た後は、左下の「+」ボタンで新しいグラフを追加して、設定項目の中の「Display Filter」でフィルタリング条件(ip.addr == 192.168.1.1等)を追加すれば、フィルタ条件に合ったパケットのデータがグラフ化されます。
まとめ:Wiresharkの基本的な操作方法・画面の見方について解説!
今回の記事では、Wiresharkの基本的な使い方・画面の見方について解説を行わせていただきました。
この記事でWiresharkの使い方を学ぶことで、Wiresharkを使用して簡単なパケットキャプチャを行うことが出来るようになります。
Wiresharkを使いこなすことが出来れば通信のパケットを収集・解析することが可能になるため、ネットワーク障害が起こった際には原因となる箇所の特定・分析なども出来るようになります。
IT技術者にとってWiresharkはほぼ必須級のツールなので、ぜひ使いこなせるように色々と勉強を頑張っていきましょう!