【3/18〜】Amazon、VMwareが語る『クラウドの未来』 スラッシュドット    はてなブックマーク  Yahoo!ブックマークに登録  印刷
Windows TIPS
[Network]
  Windows TIPS TOPへ
Windows TIPS全リストへ
内容別分類一覧へ

Wiresharkでネットワーク・プロトコルを解析する(基本操作編)

解説をスキップして操作方法を読む

デジタルアドバンテージ 打越 浩幸
2008/07/04
対象ソフトウェア
Wireshark
ネットワークのトラブルシューティングでは、パケットをキャプチャして解析できると便利である。
Wiresharkはフリーの高機能なネットワーク・プロトコル・アナライザであり、Windows OS以外でも広く使われている。
Wiresharkでは、MS-RPCプロトコルの内部も解析できる。

解説

Windowsネットワーク・プロトコルの理解と検証(運用)

 ネットワークのトラブルシューティングでは、ネットワーク・ケーブル上を流れるパケットをキャプチャしてダンプ/解析する必要に迫られることがある。このような場面で役に立つのが、いわゆるネットワーク・プロトコル・アナライザと呼ばれるツールである。Windows OS上では、マイクロソフトから提供されているネットワーク・モニタがよく使われる。その最新版であるネットワーク・モニタのVer.3.xはダウンロード・センターで提供されている。具体的な使い方についてはTIPS「ネットワーク・モニタ3.1を使う(基本編)」や、その関連TIPSを参照していただきたい。

 ネットワーク・モニタ以外にも多くのプロトコル・アナライザ・ソフトウェアがあるが、フリーで提供されていて、UNIXやLinux、Macなど、多くのプラットフォーム上で動作することから、Wiresharkというソフトウェアも広く普及している。これはもともとはEtherealという名前のソフトウェアであったが、2006年に名称変更して開発が続けられている。本TIPSではこのWiresharkのインストールと基本的な使い方について紹介する。

Wiresharkサイト
長らくEtherealという名称で開発が続けられてきた、オープン・ソースでフリーのネットワーク・プロトコル・アナライザ・ソフトウェア。UNIXやLinux、Mac、WindowsなどさまざまなOS上で利用できる、高機能なツールである。
ここをクリックすると、Windows版のWiresharkのインストール・ファイルがダウンロードできる。

 Wiresharkは、さまざまなOS上で動作するだけでなく、ウィンドウ・ベースのGUI画面のほか、コマンドライン・ベースでのキャプチャ、解析機能も持つ。ライブ・キャプチャ(キャプチャしながらの解析結果の表示)や数多くのプロトコルのサポート、カラフルで分かりやすいウィンドウ画面、多くのフォーマットをサポートしたキャプチャ・データのインポート/エクスポート(ネットワーク・モニタは.capファイルのみサポート)などの特長がある。さまざまなOS上で利用できるため、Windows OS以外のユーザーにはネットワーク・モニタよりもWiresharkの方が使いやすいかもしれない。Windowsネットワーク管理者の視点からいえば、MS-RPCプロトコルの内部(ネットワーク階層的にいえば、MS-RPC中を流れている、1つ上位のプロトコル)まで解析できる点が、ありがたい点だろうか(後述の例参照)。

操作方法

Wiresharkの入手とインストール

 Wiresharkのインストール・ファイルは、上記のサイトの[Get Shark Now]ボタンをクリックすると自動的にダウンロードされる。2008年7月現在の最新版はVer.1.0.1である。入手したファイル(wireshark-setup-1.0.1.exeなど)をダブルクリックするとインストールが始まる。インストール・オプションは特にデフォルトのままで構わないだろう。途中でWinpcapというキャプチャ・ドライバ(サービス)がデフォルトでインストールされるが、これはWindows OS(ネットワーク・モニタ)における「ネットワーク モニタ ドライバ」に相当する。このように、Wiresharkではネットワーク・モニタ・ドライバは使わず、別のキャプチャ・ドライバを使用して、ネットワーク・パケットをキャプチャしている。

Wiresharkのインストール・オプションの設定画面
ユーザー・インターフェイスやインストールする各種のサブツールを選択する。通常はデフォルトのままでよいだろう。TsharkやRawsharkは、コマンド・プロンプト上などで利用するサブツールである。
ユーザー・インターフェイスのデザインの選択。

Wiresharkでキャプチャ/解析する

 インストールされたWiresharkのアイコンをクリックすると、次のような初期画面が表示される。

Wiresharkの初期画面
Wiresharkの起動直後はこのような画面が表示される。まずはキャプチャするネットワークを選択する。
このボタンをクリックする。

 何も表示されていないが、これはキャプチャするインターフェイスが指定されていないからである。ツール・バーの一番左にあるボタンをクリックすると([Capture]メニューの[Interface]項目でもよい)、次のようなインターフェイスの選択画面が表示される。

インターフェイスの選択画面
この画面で、キャプチャしたいネットワーク・インターフェイスを選択し、[Start]ボタンをクリックするとキャプチャが始まる。
インターフェイスの一覧。VPN用の仮想インターフェイスなども表示される。
インターフェイスやIPアドレスなどを確認して、[Start]ボタンをクリックすると、そのインターフェイスのパケットがキャプチャされる。

 ここでは、一番下にあるイーサネット・インターフェイスのパケットをキャプチャしてみよう。インターフェイス名やIPアドレスなどを確認して、[Start]ボタンをクリックする。するとキャプチャが開始されると同時に、解析されたパケットが、すぐに表示される(ライブ・キャプチャ機能)。

キャプチャ/解析表示中のWireshark画面
キャプチャされると同時に、解析結果のプロトコル階層が表示される。いちいちキャプチャを止めてから解析画面に移動する必要はない(ネットワーク・モニタでも、Ver.3.x以降で利用可能)。
キャプチャの停止ボタン。停止しなくても解析結果は表示されるが、パケットを保存するためには、いったん停止する必要がある。処理が重かったり、解析すべき部分のキャプチャが終了したら、停止してもよいだろう。ただしいったん停止すると、同じバッファに追加してキャプチャはできない(再開すると、既存のバッファ内容はクリアされる)。キャプチャに関するオプション(キャプチャ・バッファのサイズなど)は、左から2番目のボタンで設定する。
キャプチャのリセット(キャプチャしたパケットを全部削除する)。
パケットの保存ボタン。ネットワーク・モニタなどでよく使われる.cap以外にも、さまざまなフォーマットで保存できる。
表示フォントサイズの拡大や縮小のためのボタン。
表示やキャプチャのためのフィルタの設定。
キャプチャしたパケットの一覧。時間順に並んでいる。表示される項目はネットワーク・モニタなどとほぼ同じである。プロトコルの種類や条件別に色分けして表示されるので、分かりやすい(色はカスタマイズも可能)。
プロトコル階層別に解析して表示された、プロトコルの詳細画面。で選択したパケットが解析されて表示されている。
DCE RPCとはMS-RPCプロトコルのこと。
MS-RPCプロトコルの中のRemote Registry Serviceのコマンドまで解析して表示されている。ネットワーク・モニタでは、この部分は単なるバイナリ列として表示される。
[+]アイコン部分を展開すると、このようにプロトコルの詳細が表示される。関連するパケットの場合はこのようにリンクが表示される。リンク部分をクリックすると、該当するパケットまでジャンプしてくれるので、便利である。
16進タンプ。

 の部分が解析されたプロトコルの詳細であるが、SMBプロトコルの下側にDCE RPC(。MS-RPCと同じ)とRemote Registry Service()が表示されている(MS-RPCについてはTIPS「リモートの手続きを呼び出すMS-RPCとは?」参照)。その結果、このパケットは、レジストリのCloseKeyコマンドであることが分かる。これに対しネットワーク・モニタ(次の画面参照)の場合は、MS-RPC以下の階層が表示されておらず、何を実行しているコマンドが分からない(解析できない)。このようにWiresharkの方が、(機能によっては)便利なことも少なくない。目的によって両者を使い分けるとよいだろう。End of Article

ネットワーク・モニタ3.1の実行例
上のパケットと同じものを解析した場合の例(Wiresharkで保存した.capファイルをネットワーク・モニタでオープンして表示させている)。
MS-RPCプロトコルの解析結果。この中にあるレジストリ操作のためのコマンド部分は解析されないので、必要なら16進ダンプ・データを自力で調査する必要がある。

この記事と関連性の高い別のWindows TIPS
ネットワーク・モニタ3.1を使う(基本編)
netcapコマンドでネットワーク・パケットをキャプチャする
ネットワーク・モニタでコンピュータ名を定義する
ネットワーク・モニタのキャプチャ・フィルタを利用する
ネットワーク・モニタ3.0の表示フィルタを活用する
このリストは、(株)デジタルアドバンテージが開発した
自動関連記事探索システム Jigsaw(ジグソー) により自動抽出したものです。
generated by

「Windows TIPS」

ホワイトペーパーTechTargetジャパン

Windows Server Insider フォーラム 新着記事

@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

RSSフィード

@IT 新着記事

スキルアップ/キャリアアップ(JOB@IT)

- PR -
@IT Special -PR-
「いつかは壊れるサーバ」そんな故障に
迅速で安価に手軽に対応する方法とは?
New!
「特権ユーザー」の事件を防げ!
万能権限を持つユーザーの管理方法とは?
New!
仮想環境の構築とデータ保護の特効薬?!
実績と信頼性の高いパッケージで安心運用
仮想環境のバックアップもこれまでどおり
「まるごと取ってまるごと戻す」簡単運用
おばかアプリ選手権、第4弾開催中!!
ムダにカッコよくてくだらない作品求ム!
社内ファイルサーバを“クラウド”に統合
VPN直結「クラウド型ストレージ」を紹介
その数、なんと400台以上! グループ内
サーバの「統合管理」によるメリットは?
美人!? まあまあ? 気になる いやし系!!
PV急増で「美人時計」がとった手段とは?
進化を続ける富士通ストレージETERNUS DX
製品開発者の自信を裏付けるものとは何か
運用管理の課題を“2つの観点”から分析
ユーザー満足度の高い「仮想環境」とは?

→@IT Special ヘ

- PR -

お勧め求人情報

キャリアアップ 〜JOB@IT
@IT Special -PR-
  TomcatやJBossなどAPサーバ環境に関する
情報を集約! “業務”用APサーバ大百科
New!
  一気に解説! 最新のクラスタストレージ
「RAIDを超えたストレージ基準」……など
New!
  クラウド的ユーザー体験の変化は脅威か?
仮想化技術を使いこなす運用管理術を紹介
New!

  上司や部下、部署内メンバーとの情報共有
を“ガラッ”と変えるコラボツールとは?
New!
  おばかアプリ選手権、第4弾開催中!!
ムダにカッコよくてくだらない作品求ム!
  社内ファイルサーバを“クラウド”に統合
VPN直結「クラウド型ストレージ」を紹介

  Twitterのアカウントはなぜ突破された?
メールによる新手の攻撃手法とその対策
  もう仮想化のお試しフェイズは終わりだ!
Hyper-V 2.0が基幹システムも仮想化
  美人!? まあまあ? 気になる いやし系!!
PV急増で「美人時計」がとった手段とは?

  クライアント企業から求められる人材
⇒IT技術と経営戦略を併せ持つ「戦略家」
  .NET編集長が実践する「技術情報検索術」
サンプル・コードを簡単に探す“技”は?
  業務効率と情報セキュリティ対策を両立!
手間なく確実に機密情報を守る方法とは?

  進化を続ける富士通ストレージETERNUS DX
製品開発者の自信を裏付けるものとは何か
  運用管理の課題を“2つの観点”から分析
ユーザー満足度の高い「仮想環境」とは?

  【CTC事例】約30の基幹システムを統合!
膨大なバッジジョブを制御した方法は?
  仮想化すればコストは削減できるか?
仮想化に必要な「3つの視点」を解説する
  その数、なんと400台以上! グループ内
サーバの「統合管理」によるメリットは?

→@IT Special ヘ