Contents
Wiresharkは何をしますか?
過去数年にわたって、Wiresharkは次のような評判を獲得してきました。 市場で入手可能な最も信頼性の高いネットワークアナライザーの1つ. 世界中のユーザーがこのオープンソースアプリケーションを次のように使用しています。 完全なネットワーク分析ツール. Wiresharkを介して、ユーザーはネットワークの問題のトラブルシューティング、セキュリティの問題の調査、プロトコルのデバッグ、ネットワークプロセスの学習を行うことができます。.
このチュートリアルでは、Wiresharkの仕組みについて説明します。 Wiresharkプログラムを見つけてコンピューターにインストールする手順を説明します。パケットキャプチャの起動方法と、そこから取得できる情報を確認できます。 Wiresharkのチュートリアルでは、インターフェイス内のデータ操作機能を最大限に活用する方法も示します。また、Wiresharkネイティブのデータ分析機能よりも優れたデータ分析機能を取得する方法についても学習します。.
Wiresharkの使用方法
前述のように、Wiresharkはネットワーク分析ツールです。 Wiresharkは、その核となる部分で、異なるネットワーク間で転送されるデータのパケットを分割するように設計されました。ユーザーは、データの特定のパケットを検索およびフィルタリングし、それらがネットワークを介して転送される方法を分析できます。これらのパケットは、リアルタイムまたはオフラインで分析に使用できます.
ユーザーはこの情報を使用して、統計とグラフを生成できます。 Wiresharkは元々Etherealとして知られていましたが、それ以来、市場における主要なネットワーク分析ツールの1つとしての地位を確立しています。これは、さまざまなネットワークやプロトコルによって生成されたデータを表示したいユーザー向けのツールです.
Wiresharkは、初心者とエキスパートユーザーの両方に適しています。ユーザーインターフェイスは、パケットをキャプチャするための最初の手順を学習すると、非常に簡単に使用できます。より高度なユーザーは、プラットフォームの復号化ツールを使用して、暗号化されたパケットも分解できます。.
Wiresharkのコア機能
Wiresharkのコア機能の内訳は次のとおりです。
- ライブパケットデータをキャプチャする
- テキストファイルからパケットをインポートする
- パケットデータとプロトコル情報を表示する
- キャプチャしたパケットデータを保存する
- パケットを表示する
- パケットをフィルタリングする
- パケットを検索
- パケットを色付けする
- 統計を生成する
ほとんどのユーザーは、ネットワークの問題を検出してソフトウェアをテストするためにWiresharkを使用しています。オープンソースプロジェクトとして、Wiresharkはサービス標準を高く保つ独自のチームによって維持されています。このガイドでは、Wiresharkの使用方法について説明します。詳細については、「Wiresharkの公式ユーザーガイド」をご覧ください。.
Wiresharkをダウンロードしてインストールする方法
Wiresharkを使用する前に、最初に行う必要があるのはダウンロードとインストールです。会社のウェブサイトからWiresharkを無料でダウンロードできます。スムーズに実行できるようにするには、プラットフォームで利用可能な最新バージョンを「安定版リリース」セクションからダウンロードすることをお勧めします.
Windowsにインストールする
プログラムをダウンロードしたら、セットアッププロセスを開始できます。インストール中に、WinPcapをインストールするように求められる場合があります。 WinPcapをインストールしないと、ライブネットワークトラフィックをキャプチャできなくなるため、WinPcapをインストールすることが重要です。 WinPcapがなければ、保存されたキャプチャファイルのみを開くことができます。インストールするには、単にチェックしてください WinPcapをインストールする ボックス.
Macにインストールする
WiresharkをMacにインストールするには、最初にインストーラーをダウンロードする必要があります。これを行うには、exquartzなどのインストーラーをダウンロードします。これが完了したら、ターミナルを開き、次のコマンドを入力します。
<%/Applications/Wireshark.app/Contents/Mac0S/Wireshark>
次に、Wiresharkが開始するのを待ちます.
Unixにインストールする
UnixでWiresharkを実行するには、最初にいくつかのツールをシステムにインストールする必要があります。これらは:
- GTK+, 同じソースからのGIMPツールキットとGlib.
- あなたも必要になります グリブ. 両方のツールについて詳しくは、https://www.gtk.org/をご覧ください。
- libpcap, これはhttp://www.tcpdump.org/から取得します.
上記のサポートソフトウェアをインストールし、Wiresharkのソフトウェアをダウンロードした後、tarファイルからそれを抽出する必要があります。.
gzip -d wireshark-1.2-tar.gz
tar xvf wireshark-1.2-tar
Wiresharkディレクトリに移動し、次のコマンドを発行します。
./構成、設定
作る
インストールする
UnixコンピュータでWiresharkプログラムを実行できるようになりました.
データパケットをキャプチャする方法
ネットワーク分析ツールとしてのWiresharkのコア機能の1つは、データのパケットをキャプチャすることです。詳細なネットワーク分析を行うには、パケットをキャプチャするようにWiresharkを設定する方法を学ぶことが不可欠です。ただし、Wiresharkを初めて使用するときは、パケットをキャプチャするのが難しい場合があることに注意することが重要です。パケットのキャプチャを開始する前に、次の3つのことを行う必要があります。
- 管理者権限を持っていることを確認してください デバイスでライブキャプチャを開始するには
- 正しいネットワークインターフェイスを選択してください パケットデータをキャプチャする
- キャプチャー パケットデータ 正しい場所から あなたのネットワークで
これら3つのことを完了すると、キャプチャプロセスを開始する準備が整います。 Wiresharkを使用してパケットをキャプチャすると、ユーザーが判読できるように人間が読める形式で表示されます。あなたもすることができます フィルターと色分けでパケットを分解する より具体的な情報を見たい場合.
Wiresharkを初めて開くと、次の起動画面が表示されます。
最初に行う必要があるのは、キャプチャするために使用可能なインターフェイスを確認することです。これを行うには、選択します キャプチャー > オプション. 次に示すように、[キャプチャインターフェイス]ダイアログボックスが開きます。
キャプチャするインターフェイスのボックスをオンにして、 開始 開始するボタン。複数のソースから同時にデータをキャプチャする場合は、複数のインターフェイスを選択できます.
UnixまたはLinuxでは、ダイアログボックスは次のようなスタイルで表示されます。
次のコマンドラインを使用してWiresharkを起動することもできます。
<¢wireshark -i eth0 —k>
を使用することもできます フカヒレボタン パケットキャプチャを開始するショートカットとしてツールバーで。このボタンをクリックすると、Wiresharkはライブキャプチャプロセスを開始します.
キャプチャを停止する場合は、赤色をクリックします やめる フカヒレの横のボタン.
無差別モード
ネットワークパケット転送のオーバーヘッドビューを作成する場合は、「プロミスキャスモード」をアクティブにする必要があります。無差別モードは Wiresharkが表示するすべてのパケットを詳細化するインターフェースモード. このモードを無効にすると、ネットワークの透明性が失われ、ネットワークの限られたスナップショットのみが作成されます(これにより、分析が困難になります)。.
無差別モードを有効にするには、をクリックします キャプチャオプション ダイアログボックスをクリックして 無差別モード. 理論的には、これはネットワーク上でアクティブなすべてのトラフィックを表示するはずです。無差別モードボックスを以下に示します。
ただし、これはよくありません。多くのネットワークインターフェイスはプロミスキャスモードに耐性があるため、特定のハードウェアに関する情報についてはWiresharkのWebサイトを確認する必要があります.
Windowsでは、開くと便利です デバイスマネージャ そして、無差別モードを拒否するように設定されているかどうかを確認します。例えば:
(ネットワークをクリックするだけで、無差別モードの設定が すべて許可します).
設定を「拒否」無差別モードに設定している場合、Wiresharkがキャプチャするパケットの数を制限します。そのため、Wiresharkでプロミスキャスモードを有効にしている場合でも、デバイスマネージャーをチェックして、インターフェイスがデータの送信をブロックしていないことを確認してください。時間をかけてネットワークインフラストラクチャを確認することで、Wiresharkが必要なデータパケットをすべて受信できるようになります.
キャプチャされたパケットを分析する方法
ネットワークデータをキャプチャしたら、キャプチャしたパケットを確認します。以下のスクリーンショットでは、3つのペインが表示されます。 パケットリスト ペイン、 パケットバイト ペイン、および パケットの詳細 ペイン.
さらに情報が必要な場合は、各パケットのフィールドをクリックして詳細を表示できます。パケットをクリックすると、バイトビューセクションに内部バイトの内訳が表示されます.
パケットリスト
パケットリストペインは、スクリーンショットの上部に表示されます。各ピースは、時間、送信元、宛先、プロトコル、およびサポート情報とともに番号に分けられます.
パケットの詳細
パケットの詳細は中央にあり、選択したパケットのプロトコルを示しています。選択した行の横にある矢印をクリックして、各セクションを展開できます。選択したアイテムを右クリックして追加のフィルターを適用することもできます.
パケットバイト
パケットバイトペインは、ページの下部に表示されます。このペインには、選択したパケットの内部データが表示されます。このセクションでデータの一部を強調表示すると、対応する情報もパケット詳細ペインで強調表示されます。デフォルトでは、すべてのデータは16進形式で表示されます。ビット形式に変更する場合は、ペインを右クリックして、コンテキストメニューからこのオプションを選択します。.
Wiresharkを使用してネットワークパフォーマンスを分析する方法
Wiresharkを使用してネットワークを検査し、すべてのアクティブなトラフィックを分析する場合は、ネットワーク上のすべてのアクティブなアプリケーションを終了する必要があります。これにより、トラフィックが最小限に抑えられるため、ネットワークで何が起こっているかをより明確に確認できます。ただし、すべてのアプリケーションをオフにしても、大量のパケットが送受信されます。.
Wiresharkを使用してこれらのパケットをフィルタリングすることは ネットワークデータをストックする最良の方法. 接続がアクティブになると、ネットワークを介して毎秒数千のパケットが転送されます。これは、何が起こっているのかを明確に把握するために、不要な情報を除外することが不可欠であることを意味します.
キャプチャフィルターとディスプレイフィルター
キャプチャフィルター そして ディスプレイフィルター Wiresharkで使用できる2種類の異なるフィルターです。キャプチャフィルタは、着信パケットキャプチャのサイズを縮小するために使用され、基本的には、ライブパケットキャプチャ中に他のパケットを除外します。その結果、ライブキャプチャプロセスを開始する前にキャプチャフィルターが設定されます.
キャプチャが開始されると、キャプチャフィルタは変更できません. 一方, ディスプレイフィルター 既に記録されているデータをフィルタリングするために使用できます。キャプチャフィルタは、ライブネットワークモニタリングからキャプチャするデータを決定し、ディスプレイフィルタは、以前にキャプチャしたパケットを調べたときに表示されるデータを決定します.
データのフィルタリングを開始する場合、最も簡単な方法の1つは、ツールバーの下にあるフィルターボックスを使用することです。たとえば、フィルタボックスにHTTPを入力すると、キャプチャされたすべてのHTTPパケットのリストが提供されます。入力を開始すると、オートコンプリートフィールドが表示されます。フィルターボックスを以下に示します。
パケット情報を104apciからzvtに分解するために、数百の異なるフィルターを使用できます。詳細なリストは、Wireshark Webサイトのこちらにあります。入力フィールドの左側にあるブックマークアイコンをクリックして、フィルターを選択することもできます。これにより、人気のあるフィルターのメニューが表示されます.
キャプチャフィルタの設定を選択した場合、ライブトラフィックの記録を開始すると、変更が有効になります。表示フィルターを有効にするには、入力フィールドの右側の矢印をクリックするだけです。または、クリックすることができます 分析する > ディスプレイフィルター デフォルトのリストからフィルターを選択します.
フィルタを選択すると、パケットの背後にあるTCP会話を表示できます。これを行うには、パケットを右クリックして[フォロー]をクリックします > TCPストリーム。これにより、クライアントとサーバー間のTCP交換が表示されます.
Wiresharkのフィルタリングの詳細については、「Wiresharkのフィルター表示ガイド」を参照してください。.
カラーコーディングの使用
Wiresharkのカラーコーディング機能により、表示または記録するパケットをフィルタリングするだけでなく、ユーザーは色に応じて異なるパケットタイプを簡単に識別できます。たとえば、TCPトラフィックは水色で示され、UDPトラフィックは水色で示されます。エラーのあるパケットを強調するために黒が使用されていることに注意することが重要です.
Wiresharkのデフォルト設定では、約20色から選択できます。これらを編集、無効化、または削除できます。色付けをオフにする場合は、をクリックします 見る メニューとクリック パケットリストの色付け オフにするフィールド。 Wiresharkの色分けに関する詳細を表示するには、をクリックします 見る >着色ルール.
ネットワーク統計の表示
ネットワークの詳細情報を表示するには、 統計ドロップダウンメニューは非常に便利です. 統計メニューは画面の上部に配置でき、サイズやタイミング情報からプロットされたチャートやグラフまで、多数のメトリックを提供します。重要な情報を絞り込むために、これらの統計に表示フィルターを適用することもできます.
Wiresharkの統計メニューは次のとおりです。
このメニューには、ネットワーク情報を分類するのに役立つさまざまなオプションがあります.
統計メニューの選択
コアセクションの一部を次に示します。
- プロトコル階層 – Protocol Hierarchyオプションは、キャプチャされたすべてのプロトコルの完全なテーブルを含むウィンドウを表示します。アクティブなディスプレイフィルターも下部に表示されます.
- 会話 – 2つのエンドポイント間のネットワーク会話を明らかにします(たとえば、1つのIPアドレスから別のIPアドレスへのトラフィックの交換).
- エンドポイント –エンドポイントのリストを表示します(ネットワークエンドポイントは、特定のプロトコルレイヤーのプロトコルトラフィックが終了する場所です).
- IOグラフ –ユーザー固有のグラフを表示し、データ交換全体のパケット数を視覚化する.
- RTP_statistics –ユーザーは、RTPオーディオストリームのコンテンツをAuファイルに直接保存できます。.
- サービス応答時間 –要求とネットワークの応答の間の応答時間を表示します.
- TcpPduTime –プロトコルデータユニットからデータを転送するのにかかった時間を表示します。 TCP再送信の検索に使用できます.
- VoIP_Calls –ライブキャプチャから取得したVoIPコールを表示します.
- マルチキャストストリーム –マルチキャストストリームを検出し、バーストのサイズと特定の速度の出力バッファを測定します.
IOグラフによるネットワークパケットの視覚化
データパケットの視覚的表現を作成する場合は、IOグラフを開く必要があります。をクリックしてください 統計 メニューと選択 IOグラフ. その後、グラフウィンドウが表示されます。
あなたはできる 独自の設定でIOグラフを構成する 表示するデータに応じて。デフォルトではグラフ1のみが有効になっているため、2〜5をアクティブにするには、グラフをクリックする必要があります。同様に、グラフに表示フィルターを適用する場合は、操作するグラフの横にあるフィルターアイコンをクリックします。スタイル列では、グラフの構造を変更できます。から選択できます ライン, FBar, ドット, または インパルス.
グラフのX軸とY軸のメトリックも操作できます。 X軸のティック間隔セクションでは、間隔を分単位から秒単位で指定できます。確認することもできます 時刻として表示 X軸の時間を変更するためのチェックボックス.
[Y軸]セクションで、次のオプションのいずれかから測定単位を変更できます。 パケット/ティック, バイト/ティック, ビット/ティック, または 高度な. スケールでは、グラフのY軸の測定スケールを選択できます.保存を押すと、グラフは選択したファイル形式で保存されます
サンプルキャプチャの使用方法
Wiresharkの使用を練習したいが、何らかの理由でネットワークが利用できない場合は、「サンプルキャプチャ」を使用するのが最適です. サンプルキャプチャは、別のネットワークのパケットデータを提供します. Wireshark wiki Webサイトにアクセスして、サンプルキャプチャをダウンロードできます。.
Wireshark wiki Webサイトには、サイト全体にダウンロードできるさまざまなサンプルキャプチャファイルがあります。サンプルキャプチャをダウンロードしたら、[ファイル]をクリックして使用できます > ファイルを開いてからクリックします.
キャプチャファイルは、以下の以下のソースからも見つけることができます。
- ICIR
- OpenPacket
- パケットライフ
Wiresharkの機能の拡大
Wiresharkは優れたパケットスニファーですが、ネットワーク解析ツールのすべてではありません。 Wiresharkを拡張し、補完的なツールでサポートできます。プラグインとプラットフォームをサポートする幅広いコミュニティは、Wiresharkの機能を強化できます.
以下のWiresharkの追加機能を試して、分析機能を改善してください。
- WiresharkのSolarWinds Response Time Viewer ユーザーがアプリケーションとネットワークの応答時間を計算できるようにします。これをWiresharkと一緒に使用して、データとトランザクション量を表示できます。これにより、ネットワークパフォーマンスを評価し、改善の可能性を特定できます。.
- Cloudshark Wiresharkのキャプチャを無効にするために特別に作成された分析ツールです。ただし、他のパケットスニファーからデータをインポートすることもできます。 Wireshark用のCloudsharkプラグインは、分析ツールへのデータ転送を容易にします.
- NetworkMiner Wiresharkからのフィードに作用する別の分析ツールです。このツールには無料版と有料版があります.
- トラフィックを表示 プロトコルごとにパケットを識別して、ライブ交通量データを表示.
Wireshark用SolarWinds Response Time Viewer100%無料ツールをダウンロード
以下で説明するSolarWindsモニターなどの完全なネットワーク分析ツールも、IT管理ツールキットに追加するのに適しています.
SolarWinds Network Performance Monitor:360度ネットワーク管理– (無料トライアル)
市場をリードするネットワーク管理ソリューションの1つとして、SolarWinds Network Performance Monitorは、ネットワークを安全に保つための広範なネットワーク監視機能をユーザーに提供します。ネットワーク全体の帯域幅の監視から遅延まで、ユーザーはパフォーマンス分析ダッシュボードを介してすべてのライブ変更を追跡できます。.
ライブパフォーマンス分析ダッシュボードは、ユーザーのリアルタイムネットワークインフラストラクチャの概要を提供します。視覚表示には、アクティブなネットワーク接続とデバイスがすべて表示されます。これにより、ユーザーは不正なデバイスを簡単に見つけることができます.
ユーザーフレンドリーなインターフェイスにより、ユーザーは独自のアラートを定義できるため、ネットワークで異常な変更が発生したときに通知を受けることができます。新しいデバイスが接続を試みると、システムがこれにフラグを立てることができます。分析ダッシュボードで生成されたライブデータをレポートに変換して、さらなる洞察を生成することもできます.
- マルチベンダーネットワークの監視 –マルチベンダーのパフォーマンスの問題を特定して解決する.
- 無線ネットワーク監視 –アクセスポイント、ワイヤレスデバイス、およびクライアントからのパフォーマンスメトリックの表示.
- ネットワークデッドゾーンの特定– ワイヤレスネットワークのヒートマップを表示し、信号が弱いエリアを特定します.
- パフォーマンス分析ダッシュボード – 1つのタイムラインでネットワーク全体のパフォーマンスを表示. ネットワークパフォーマンスデータをドラッグアンドドロップして、ライブデータの視覚化を作成.
- インテリジェントアラート –ユーザーは、アラートの生成方法を定義します。ダッシュボードでアラートを生成するトリガー条件を選択します.
SolarWinds Network Performance Monitor SolarWinds.comで30日間無料トライアルをダウンロード
Wireshark:シンプルで多用途
以上で、Wiresharkの使用方法の内訳は終わりです。あなたが新規ユーザーであろうとWiresharkのベテランであろうと、このプラットフォームは非常に用途の広いネットワーク分析ツールです。 Wiresharkを最大限に活用したい場合は、Wiresharkのウェブサイトで追加の調査を行うことを強くお勧めします.
これは、より高度な機能を使用して独自のプロトコルディセクタを作成する場合にさらに重要です。 Wiresharkの公式ユーザーガイドは、このテーマに関する最も包括的なガイダンスを提供します.
SolarWindsの外部プラグインとサポートプログラムを使用することを忘れないでください。これにより、将来の分析作業が大幅に深まる可能性があります。ネットワークを最適化する方法の詳細については、ネットワークアナライザーの詳細ガイドをご覧ください。.
その他のチュートリアル:
- Wiresharkチートシート
- WiresharkでSSLを復号化する方法
- Wiresharkを使用して不明なホストのIPアドレスを取得する
- Wiresharkおよびtcpdumpを使用したリモートキャプチャの実行
- Wiresharkの「インターフェイスが見つかりません」エラーの説明
- WiresharkのOUIルックアップでハードウェアを識別する
- 最高のWiresharkの代替
るために、Wiresharkは無差別モードをサポートしています。このモードでは、すべてのパケットがキャプチャされます。ただし、このモードはセキュリティ上の問題を引き起こす可能性があるため、慎重に使用する必要があります。キャプチャされたパケットを分析する方法 Wiresharkを使用してキャプチャされたパケットを分析するには、次の手順を実行する必要があります。 パケットリストを表示する パケットの詳細を表示する パケットバイトを表示する. パケットリスト Wiresharkのメインウィンドウには、キャプチャされたパケットのリストが表示されます。このリストには、各パケットの情報が含まれています。パケットの詳細を表示するには、リスト内のパケットを選択するだけです。 パケットの詳細 パケットの詳細を表示するには、リスト内のパケットを選択し、[パケットの詳細]ウィンドウを開きます。このウィンドウには、パケットのヘッダー情報が表示されます。 パケットバイト パケットバイトを表示するには、リスト内のパケットを選択し、[パケットバイト]ウィンドウを開きます。このウィンドウには、パケットのバイト情報が表示されます。 Wiresharkを使用してネットワークパフォーマンスを分析する方法 Wiresharkを使用してネットワークパフォーマンスを分析するには、次の手順