Wiresharkで特定の通信セッションだけを抽出して表示する

Windows TIPS

［Network］

→ Windows TIPS TOPへ
→ Windows TIPS全リストへ
→ 内容別分類一覧へ

Wiresharkで特定の通信セッションだけを抽出して表示する

→ 解説をスキップして操作方法を読む

デジタルアドバンテージ　打越浩幸
2008/07/11

対象ソフトウェア

Wireshark


■	Wiresharkで特定のTCPセッションの内容だけを取り出して表示させるには、Follow TCP Stream機能を使えばよい。
■	指定されたTCPパケットが含まれるセッションが抽出され、そのデータ部分が表示される。
■	ほかに、特定のUDPやSSLのセッションだけを取り出すこともできる。

解説

	Windowsネットワーク・プロトコルの理解と検証（運用）
	TIPS：ネットワーク・モニタ3.0の表示フィルタを活用する
	TIPS：ネットワーク・モニタで特定のプロトコルだけを表示させる

　TIPS「Wiresharkでネットワーク・プロトコルを解析する（基本操作編）」では、フリーの高機能なネットワーク・プロトコル・アナライザ、Wiresharkの基本的な使い方について解説した。本TIPSでは、もう少し進んだ使い方として、特定のTCP／UDPセッションだけを抽出して表示する方法を紹介する。この機能を使わないと、非常に多くの通信が表示され、目的のパケットを見つけ、トラブルシューティングするのが困難になるからだ。なお、Windows Serverなどで利用できるネットワーク・モニタ・ツールにおける表示フィルタの使用方法については、関連記事を参照していただきたい。

操作方法

特定の通信セッションの内容だけを抽出する

　特定の通信セッションの内容だけを抽出するには、「Follow TCP Stream」や「Follow UDP Stream」「Follow SSL Stream」という機能を使えばよい。

　Follow TCP Streamとは、指定したパケットに関連する通信内容（TCPセッション）だけを取り出して表示する機能である（Follow UDP StreamやFollow SSL Stream機能もある）。例えばあるWebサーバへアクセスしているパケットがいくつかキャプチャできた場合、そのうちのどれか1つを選択して右クリックし、ポップアップ・メニューから［Follow TCP Stream］という項目を選択する。すると、そのTCPセッションの内容（同じIPアドレス、ポート番号を持つ、一連のTCPパケットの内容）だけが抽出され、その内容が表示される。

特定のTCPセッションの内容の表示（1）

Follow TCP StreamやFollow UDP Stream、Follow SSL Stream機能を使うと、特定のTCPセッションなどだけを簡単に抽出して、表示できる。

		セッションを確認したいパケットのうちの1つを選択する。必ずしも、セッション開始のパケットでなくてもよい。
		これを選択する。

基礎から学ぶWindowsネットワーク第14回「信頼性のある通信を実現するTCPプロトコル」

　この機能を使う場合は、必ずしもセッションの最初のパケット（TCPならば、最初のSYNを送信しているパケット）でなくてもよい。どれか1つのパケットを指定すれば、同じIPアドレス、TCPポートを持つパケットが自動的に抽出される。TCPプロトコルの基礎などについては、関連記事を参照していただきたい。

　これを実行すると、次のようなダイアログが表示される。

特定のTCPセッションの内容の表示（2）

指定されたパケットに関するTCPセッションのデータが表示されている。

		表示用フィルタの条件式が設定され、該当するセッションのパケットのみが表示される。
		TCPセッションの内容（通信内容のデータ）。この場合はHTTPプロトコルであったので、Webサーバとの通信内容が表示されている。
		セッションの大まかなサイズ。保存することもできる。

　この画面では、指定されたTCPパケットに関するセッションの最初から最後まで（SYNパケットを送信してセッションが開始されたところから、最後にクローズされるまで）を追跡し、可能ならその内容が解析して表示されている。この場合は、HTTPプロトコル（WebサーバとWebブラウザ間の通信プロトコル）であったので、そのHTTPの通信内容（HTTPのGETコマンドから始まり、その後の応答などのやり取り）が表示されている。主に文字コードでやり取りされるようなプロトコルの解析に非常に役に立つ機能である。

　同様に、Follow UDP StreamやFollow SSL Streamを使えば、それぞれのセッションの内容だけを取り出すことができる。

■この記事と関連性の高い別の記事

「Windows TIPS」

Windows Server Insider フォーラム新着記事

Azure Web Appsの中を「コンソール」や「シェル」でのぞいてみる （2017/7/27）
　AzureのWeb Appsはどのような仕組みで動いているのか、オンプレミスのWindows OSと何が違うのか、などをちょっと探訪してみよう
Azure Storage ExplorerでStorageを手軽に操作する （2017/7/24）
　エクスプローラのような感覚でAzure Storageにアクセスできる無償ツール「Azure Storage Explorer」。いざというときに使えるよう、事前にセットアップしておこう
Win 10でキーボード配列が誤認識された場合の対処 （2017/7/21）
　キーボード配列が異なる言語に誤認識された場合の対処方法を紹介。英語キーボードが日本語配列として認識された場合などは、正しいキー配列に設定し直そう
Azure Web AppsでWordPressをインストールしてみる （2017/7/20）
　これまでのIaaSに続き、Azureの大きな特徴といえるPaaSサービス、Azure App Serviceを試してみた！まずはWordPressをインストールしてみる