Windows TIPS
| [Network] |
Wiresharkで特定の通信セッションだけを抽出して表示する
|
 |
| ■ |
Wiresharkで特定のTCPセッションの内容だけを取り出して表示させるには、Follow TCP Stream機能を使えばよい。 |
| ■ |
指定されたTCPパケットが含まれるセッションが抽出され、そのデータ部分が表示される。 |
| ■ |
ほかに、特定のUDPやSSLのセッションだけを取り出すこともできる。 |
|
|
TIPS「Wiresharkでネットワーク・プロトコルを解析する(基本操作編)」では、フリーの高機能なネットワーク・プロトコル・アナライザ、Wiresharkの基本的な使い方について解説した。本TIPSでは、もう少し進んだ使い方として、特定のTCP/UDPセッションだけを抽出して表示する方法を紹介する。この機能を使わないと、非常に多くの通信が表示され、目的のパケットを見つけ、トラブルシューティングするのが困難になるからだ。なお、Windows Serverなどで利用できるネットワーク・モニタ・ツールにおける表示フィルタの使用方法については、関連記事を参照していただきたい。
特定の通信セッションの内容だけを抽出する
特定の通信セッションの内容だけを抽出するには、「Follow TCP Stream」や「Follow UDP Stream」「Follow SSL Stream」という機能を使えばよい。
Follow TCP Streamとは、指定したパケットに関連する通信内容(TCPセッション)だけを取り出して表示する機能である(Follow UDP StreamやFollow SSL Stream機能もある)。例えばあるWebサーバへアクセスしているパケットがいくつかキャプチャできた場合、そのうちのどれか1つを選択して右クリックし、ポップアップ・メニューから[Follow TCP Stream]という項目を選択する。すると、そのTCPセッションの内容(同じIPアドレス、ポート番号を持つ、一連のTCPパケットの内容)だけが抽出され、その内容が表示される。
 |
| 特定のTCPセッションの内容の表示(1) |
| Follow TCP StreamやFollow UDP Stream、Follow SSL Stream機能を使うと、特定のTCPセッションなどだけを簡単に抽出して、表示できる。 |
|
 |
セッションを確認したいパケットのうちの1つを選択する。必ずしも、セッション開始のパケットでなくてもよい。 |
|
 |
これを選択する。 |
|
この機能を使う場合は、必ずしもセッションの最初のパケット(TCPならば、最初のSYNを送信しているパケット)でなくてもよい。どれか1つのパケットを指定すれば、同じIPアドレス、TCPポートを持つパケットが自動的に抽出される。TCPプロトコルの基礎などについては、関連記事を参照していただきたい。
これを実行すると、次のようなダイアログが表示される。
 |
| 特定のTCPセッションの内容の表示(2) |
| 指定されたパケットに関するTCPセッションのデータが表示されている。 |
|
|
表示用フィルタの条件式が設定され、該当するセッションのパケットのみが表示される。 |
|
|
TCPセッションの内容(通信内容のデータ)。この場合はHTTPプロトコルであったので、Webサーバとの通信内容が表示されている。 |
|
 |
セッションの大まかなサイズ。保存することもできる。 |
|
この画面では、指定されたTCPパケットに関するセッションの最初から最後まで(SYNパケットを送信してセッションが開始されたところから、最後にクローズされるまで)を追跡し、可能ならその内容が解析して表示されている。この場合は、HTTPプロトコル(WebサーバとWebブラウザ間の通信プロトコル)であったので、そのHTTPの通信内容(HTTPのGETコマンドから始まり、その後の応答などのやり取り)が表示されている。主に文字コードでやり取りされるようなプロトコルの解析に非常に役に立つ機能である。
同様に、Follow UDP StreamやFollow SSL Streamを使えば、それぞれのセッションの内容だけを取り出すことができる。
|
この記事と関連性の高い別のWindows TIPS |
|
|
generated by
|
|
TechTargetジャパン
Windows Server Insider フォーラム 新着記事
キャリアアップ
**先週の人気講座ランキング**
〜 Android編 〜
