はじめに
Wiresharkは、システム管理とセキュリティに不可欠なオープンソースのネットワークプロトコルアナライザツールです。ネットワーク上を移動するデータをドリルダウンして表示します。Wiresharkを使用すると、ライブネットワークパケットをキャプチャするか、オフライン分析用に保存できます。
Wiresharkの特徴の1つは、本当に関心のあるトラフィックのみを検査できる表示フィルターです。Wiresharkは、Windows、Linux、MacOS、FreeBSDなどのさまざまなプラットフォームで利用できます。
Wiresharkで実行できるタスクのいくつかは
- ネットワークを通過するトラフィックのキャプチャと検索
- 何百もの異なるプロトコルの検査
- トラフィック/オフライン分析のライブキャプチャ
- ドロップされたパケットと遅延の問題のトラブルシューティング
- 攻撃や悪意のある活動の試みを見る
この記事では、UbuntuシステムにWiresharkをインストールする方法について説明します。インストール手順は、Ubuntu20.04LTSおよびUbuntu21.04でテストされています。
Wiresharkのインストール
したがって、Wiresharkをインストールするには、「ユニバース」リポジトリを追加する必要があります。これを行うには、ターミナルで次のコマンドを発行します。
$ sudo add-apt-repository universe

次に、ターミナルで次のコマンドを発行して、システムにWiresharkをインストールします。
$ sudo apt install Wireshark

上記のコマンドを実行した後、確認を求められ、yを押してから、Enterキーを押すと、システムへのWiresharkのインストールが開始されます。
Wiresharkのインストール中に、スーパーユーザー以外のユーザーがパケットをキャプチャできるようにするかどうかを尋ねる次のウィンドウが表示されます。有効にするとセキュリティ上のリスクが生じる可能性があるため、無効のままにして Enterを押すことをお勧めします。 。

Wiresharkのインストールが完了したら、ターミナルで次のコマンドを使用して確認できます。
$ wireshark --version

したがって、Wiresharkが正常にインストールされると、インストールされているWiresharkのバージョンを表示する同様の出力が表示されます。
Wiresharkを起動
これで、UbuntuマシンでWiresharkを起動して使用する準備が整いました。 Wiresharkを起動するには、ターミナルで次のコマンドを発行します。
$ sudo wireshark
rootユーザーとしてログインしている場合は、GUIからWiresharkを起動することもできます。スーパーキーを押して、 wiresharkと入力します 検索バーに表示されます。Wiresharkのアイコンが表示されたら、それをクリックして起動します。
rootまたはsudo権限なしでWiresharkを起動すると、ネットワークトラフィックをキャプチャできないことに注意してください。
Wiresharkを開くと、次のデフォルトビューが表示されます。

Wiresharkの使用
Wiresharkは、多くの機能を備えた強力なツールです。ここでは、パケットキャプチャと表示フィルタという2つの重要な機能の基本について説明します。
パケットキャプチャ
Wiresharkを使用してパケットをキャプチャするには、次の簡単な手順に従います。
1. Wiresharkウィンドウの使用可能なネットワークインターフェイスのリストから、パケットをキャプチャするインターフェイスを選択します。
2.上部のツールバーから、次のスクリーンショットに示すように、開始ボタンをクリックして、選択したインターフェイスでパケットのキャプチャを開始します。

現在トラフィックがない場合は、任意のWebサイトにアクセスするか、ネットワーク上で共有されているファイルにアクセスすることで、トラフィックを生成できます。その後、キャプチャされたパケットがリアルタイムで表示されます。
3.パケットのキャプチャを停止するには、次のスクリーンショットに示すように停止ボタンをクリックします。

上のスクリーンショットでは、Wiresharkが3つのペインに分割されていることがわかります。
1.最上位のパネリストがWiresharkによってキャプチャされたすべてのパケット。
2.中央のペインには、選択した各パケットのパケットヘッダーの詳細が表示されます。
3. 3番目のペインには、選択した各パケットの生データが表示されます。
ディスプレイフィルター
上記のスクリーンショットで見たように、Wiresharkは単一のネットワークアクティビティに対して多数のパケットを表示します。通常のネットワークでは、ネットワーク上を行き来する何千ものパケットがあります。何千ものキャプチャされたパケットから特定のパケットを見つけることは非常に困難です。 Wiresharkの表示フィルタリング機能が登場します。
Wireshark表示フィルターを使用すると、探しているパケットのタイプのみを表示できます。このようにして、結果を絞り込み、探しているものを簡単に見つけることができます。プロトコル、送信元と宛先のIPアドレス、ポート番号などに基づいて結果をフィルタリングできます。
Wiresharkには、利用できる事前定義されたフィルターがたくさんあります。フィルタ名の入力を開始すると、Wiresharkは名前を提案することでフィルタ名をオートコンプリートするのに役立ちます。特定のプロトコルを含むパケットのみを表示するには、ツールバーの下の[表示フィルターを適用する]フィールドにプロトコル名を入力します。
例:
STPのみを表示するには キャプチャされたすべてのパケットからのパケット、「 stp」と入力します 以下に示すように。フィルタ名を入力すると、 stpのみが表示されます パケット。

結論
これが、Ubuntu21.04システムにWiresharkをインストールして使用する方法です。 Wiresharkツールの基本について説明しました。 Wiresharkをしっかりと把握するには、すべての機能を確認して実験する必要があります。