Wireshark(以前のEthereal)は、ネットワークプロトコルアナライザー用のFOSS(無料のオープンソースソフトウェア)です。これを使用して、ネットワークの問題のトラブルシューティング、TCP、DNS、HTTPなどの通信プロトコルの分析を行うことができます。Wiresharkを他の多くの機能とは一線を画す多くの機能があります。
- リアルタイムのパケットキャプチャとオフライン分析。
- 人間が読める形式のパケットの詳細。
- パケットの色付けルール。
何をカバーしますか?
このガイドでは、「Wiresharkを使用してパケットをキャプチャおよび分析する方法」について学習します。このガイドの基本オペレーティングシステムとしてKaliLinuxを使用しています。さあ始めましょう。
Wiresharkを使用したパケットのキャプチャ
Wiresharkを起動すると、パケットをキャプチャするデバイスのリストが表示されます。
デバイスの名前をダブルクリックして、パケットのキャプチャを開始するデバイスを選択します。この場合、インターフェース「eth01」を選択しましょう。デバイスを選択するとわかるように、一部のパケットが画面に表示され始めます。
プロミスキャスモードでは、Wiresharkはネットワークインターフェイス宛て以外のパケットも表示します。このモードはデフォルトで有効になっていますが、それ以外の場合は'に移動できます キャプチャ>オプション' 「すべてのインターフェースでプロミスキャスモードを有効にする」をマークします。 チェックボックス(ウィンドウの下部)。
トラフィックのキャプチャを停止するには、ウィンドウの左上にある赤い四角のアイコンを押します。後でキャプチャを検査する場合は、'をクリックしてキャプチャを保存するだけです。 ファイル>保存'。 同様に、キャプチャファイルをダウンロードして開き、[ファイル]>[開く]をクリックして検査することができます 。ファイルを見つけて開きます。
Wiresharkのカラーコーディング
Wiresharkは、さまざまなタイプのトラフィックを示すためにさまざまな配色を使用します。たとえば明るい青色はUDPに使用され、紫色はTCPに使用され、黒色はエラーのあるパケットに使用されます。意味を確認し、これらの色を変更するには、'にアクセスしてください。 表示>カラーリングルール ' 。
Wiresharkを使用したパケットフィルタリング
Wiresharkには、関心に固有のトラフィックを除外するフィルタリング機能があります。この機能を使用する最も簡単な方法は、パケットリストの先頭にある検索バー、または以下に示すようにトラフィックの概要を示すテーブルを使用することです。たとえば「TCP」トラフィックをフィルタリングする場合は、検索バーにTCPと入力します。このプロセスについては、このチュートリアルの後半で説明します。
Wiresharkのセクションには、デフォルトのフィルターも含まれています'分析>フィルターの表示' ここから1つを選択でき、将来のためにカスタムフィルターをここに保存することもできます。
トラフィックのフィルタリングに加えて、クライアントとサーバー間の完全なTCP会話を表示することもできます。このためには、パケットを右クリックして、「Follow>TCPStream」をクリックします。 オプション。このウィンドウを閉じると、フィルターがフィルター検索バーに自動的に表示されます。
Wiresharkによるパケットインスペクション
トラフィックの概要を示す表で、パケットをクリックしてさまざまな詳細を確認します。カスタムフィルターを作成する別の方法は次のとおりです。詳細を右クリックすると、[フィルターとして適用]オプションとそのサブメニューが表示されます。そのフィルターを作成するサブメニューを選択します:
Wiresharkテストドライブ
次に、Wiresharkを使用してネットワークインターフェイス上のトラフィックをキャプチャして検査する実際的な例を見てみましょう。この例では、Kali LinuxにWiresharkをインストールし、イーサネットインターフェイス「eth0」と対話しています。次に、次の手順を実行します。
1. Wiresharkを起動した後、スタートページのデバイスリストからインターフェイスを選択します。左上のバーにある青いアイコンをクリックするか、インターフェース名をダブルクリックしてキャプチャを開始します。
2.次に、Webブラウザを起動して、「www.howtoforge.com」のようなWebページを開きます。 。ページが読み込まれたら、スタートボタンの近くにある赤いアイコンを押してキャプチャを停止します。
3.これで、キャプチャウィンドウに、システムとの間で転送されたすべてのパケットが表示されます。さまざまな種類のトラフィックが、青、黒、薄黄色などのさまざまなカラーコードで表示されます。
4. TCPなどの特定のプロトコルのパケットを探している場合は、フィルターバーを使用してそれらの接続をフィルター処理します。ネットワークアクセスを使用して外部ネットワークとパケットを交換するシステムでは、多くのバックグラウンドプロセスが実行されています。 Wiresharkのフィルタリング機能を使用して、システム宛てのパケットをフィルタリングできます。たとえばシステム宛てのTCPパケットをフィルタリングするには、次のフィルタを使用します。
ip.dst ==‘your_system_ip’ &&tcp
ラベル「your_system_ip」をシステムIPに置き換えます。この場合、192.168.18.161です。次に、これらのパケットの内容を調べて、任意のパケットを右クリックし、オプションリストから次の場所に移動します。「Follow->FollowTCPStream」 。新しいウィンドウは、以下に示すウィンドウのようになります。
Wiresharkをリアルタイムネットワーク接続に使用できない場合は、次を使用することもできます。ダウンロードしたパケットトレースファイル。
結論
Wiresharkは、ネットワークで何が起こっているかを分析するための非常に重要なツールです。政府機関、商業組織、教育機関など、さまざまなITセクターで広く受け入れられています。ネットワークの問題をトラブルシューティングする際、パケットインスペクションは非常に重要なステップであり、Wiresharkはここで重要な役割を果たします。これは、ネットワークトラフィックを分析するための業界標準になりました。