Wireshark 無料でオープンソース、クロスプラットフォーム、GUIベースのネットワークパケットアナライザ Linux、Windows、MacOS、Solarisなどで利用できます。ネットワークパケットをリアルタイムでキャプチャし、人間が読める形式で表示します。 Wiresharkを使用すると、ネットワークパケットを微視的なレベルまで監視できます。 Wiresharkには、「 tshark」と呼ばれるコマンドラインユーティリティもあります。 ‘これはWiresharkと同じ機能を実行しますが、GUIではなくターミナルを介して実行されます。
Wiresharkは、ネットワークのトラブルシューティング、分析、ソフトウェアと通信プロトコルの開発、および教育目的で使用できます。 Wiresharkは「pcap」というライブラリを使用します ‘ネットワークパケットをキャプチャするため。
Wiresharkには多くの機能があり、それらの機能のいくつかは次のとおりです。
- 検査のための何百ものプロトコルのサポート
- パケットをリアルタイムでキャプチャし、後でオフライン分析するために保存する機能
- データを分析するための多数のフィルター
- キャプチャされたデータは、オンザフライで圧縮および非圧縮できます。
- データ分析用のさまざまなファイル形式がサポートされており、出力はXML、CSV、プレーンテキスト形式で保存することもできます。
- データは、イーサネット、wifi、Bluetooth、USB、フレームリレー、トークンリングなどのさまざまなインターフェースからキャプチャできます。
この記事では、Ubuntu / DebianマシンにWiresharkをインストールする方法について説明し、ネットワークパケットをキャプチャするためにWiresharkを使用する方法も学びます。
Ubuntu 16.04/17.10へのWiresharkのインストール
WiresharkはデフォルトのUbuntuリポジトリで利用可能であり、次のコマンドを使用して簡単にインストールできます。ただし、最新バージョンのwiresharkを入手できない可能性があります。
[email protected]:~$ sudo apt-get update [email protected]:~$ sudo apt-get install wireshark -y
したがって、wiresharkの最新バージョンをインストールするには、公式wiresharkリポジトリを有効化または構成する必要があります。 。
以下のコマンドを次々に使用して、リポジトリを構成し、Wiresharkユーティリティの最新バージョンをインストールします
[email protected]:~$ sudo add-apt-repository ppa:wireshark-dev/stable [email protected]:~$ sudo apt-get update [email protected]:~$ sudo apt-get install wireshark -y
Wiresharkがインストールされたら、以下のコマンドを実行して、root以外のユーザーがインターフェースのライブパケットをキャプチャできるようにします。
[email protected]:~$ sudo setcap 'CAP_NET_RAW+eip CAP_NET_ADMIN+eip' /usr/bin/dumpcap
Debian9へのWiresharkのインストール
Wiresharkパッケージとその依存関係はデフォルトのdebian9リポジトリにすでに存在するため、Debian 9に最新の安定したバージョンのWiresharkをインストールするには、次のコマンドを使用します。
[email protected]:~$ sudo apt-get update [email protected]:~$ sudo apt-get install wireshark -y
インストール中に、スーパーユーザー以外のダンプキャップを構成するように求められます。
[はい]を選択してEnterキーを押します。
インストールが完了したら、以下のコマンドを実行して、root以外のユーザーもインターフェースのライブパケットをキャプチャできるようにします。
[email protected]:~$ sudo chmod +x /usr/bin/dumpcap
最新のソースパッケージを使用して、wiresharkをUbuntu/Debainおよび他の多くのLinuxディストリビューションにインストールすることもできます。
Debian/Ubuntuシステムにソースコードを使用してWiresharkをインストールする
まず、最新のソースパッケージ(この記事の執筆時点では2.4.2)をダウンロードし、次のコマンドを使用します。
[email protected]:~$ wget https://1.as.dl.wireshark.org/src/wireshark-2.4.2.tar.xz
次に、パッケージを抽出し、抽出したディレクトリに入ります。
[email protected]:~$ tar -xf wireshark-2.4.2.tar.xz -C /tmp [email protected]:~$ cd /tmp/wireshark-2.4.2
次に、次のコマンドを使用してコードをコンパイルします。
[email protected]:/tmp/wireshark-2.4.2$ ./configure --enable-setcap-install [email protected]:/tmp/wireshark-2.4.2$ make
最後に、コンパイルされたパッケージをインストールして、システムにWiresharkをインストールします。
[email protected]:/tmp/wireshark-2.4.2$ sudo make install [email protected]:/tmp/wireshark-2.4.2$ sudo ldconfig
インストール時に、Wireshark用の別のグループも作成されます。これで、ユーザーをグループに追加して、wiresharkで動作できるようにします。そうしないと、「許可が拒否されました」 ‘wiresharkの起動時にエラーが発生しました。
ユーザーをwiresharkグループに追加するには、次のコマンドを実行します。
[email protected]:~$ sudo usermod -a -G wireshark linuxtechi
これで、GUIメニューまたはこのコマンドを使用してターミナルからwiresharkを起動できます。
[email protected]:~$ wireshark
Debian9システムでWiresharkにアクセスする
Wiresharkアイコンをクリックします
Ubuntu 16.04/17.10でWiresharkにアクセス
Wiresharkアイコンをクリックします
パケットのキャプチャと分析
Wiresharkが起動すると、wiresharkウィンドウが表示されます。UbuntuおよびDebianシステムの例を上に示します。
これらはすべて、ネットワークパケットをキャプチャできるインターフェイスです。システムにあるインターフェースによって、この画面は異なる場合があります。
そのインターフェースのネットワークトラフィックをキャプチャするために「enp0s3」を選択しています。インターフェイスを選択すると、ネットワーク上のすべてのデバイスのネットワークパケットが入力され始めます(下のスクリーンショットを参照)
この画面を初めて表示すると、この画面に表示されるデータに圧倒され、このデータを分類する方法を考えたかもしれませんが、心配する必要はありません。Wiresharkの最も優れた機能の1つはフィルターです。
IPアドレス、ポート番号に基づいてデータを並べ替え/フィルタリングしたり、送信元と宛先のフィルター、パケットサイズなどを使用したり、2つ以上のフィルターを組み合わせてより包括的な検索を作成したりすることもできます。フィルタは、「表示フィルタを適用」で記述できます。 ‘タブ、または作成済みのルールの1つを選択することもできます。ビルド済みのフィルターを選択するには、[フラグ]をクリックします ‘アイコン、‘表示フィルターの適用の横 ‘タブ、
色分けに基づいてデータをフィルタリングすることもできます。デフォルトでは、薄紫はTCPトラフィックです。 、水色はUDPトラフィックです 、および黒はエラーのあるパケットを識別します。これらのコードの意味を確認するには、[表示]をクリックします。 ->カラーリングルール 、これらのコードを変更することもできます。
必要な結果が得られたら、キャプチャされたパケットのいずれかをクリックして、そのパケットの詳細を取得できます。これにより、そのネットワークパケットに関するすべてのデータが表示されます。
Wiresharkは非常に強力なツールであり、それに慣れてコマンドを作成するのに時間がかかります。このチュートリアルは、始めるのに役立ちます。下のコメントボックスに質問や提案をお気軽にご記入ください。