Successfully reported this slideshow.

Wireshark入門 (2014版)

89

Share

Upcoming SlideShare
Wireshark入門(4)
Wireshark入門(4)
Loading in …3
×
1 of 59
1 of 59

Wireshark入門 (2014版)

89

Share

Download to read offline

2014年10月31日開催「ネットワーク パケットを読む会 (仮)」でのセッション「いま改めて Wireshark 入門」の発表スライドです。
Wireshark の利用方法について、インストールから初期設定、パケットキャプチャの開始とフィルタリングまで解説しています。

2014年10月31日開催「ネットワーク パケットを読む会 (仮)」でのセッション「いま改めて Wireshark 入門」の発表スライドです。
Wireshark の利用方法について、インストールから初期設定、パケットキャプチャの開始とフィルタリングまで解説しています。

More Related Content

Related Books

Free with a 14 day trial from Scribd

See all

Wireshark入門 (2014版)

  1. 1. インストールと パケットキャプチャの実行 2014/10/31 改定版 hebikuzure
  2. 2. 実践パケット解析――Wiresharkを使った トラブルシューティング • http://www.oreilly.co.jp/books/9784873113517/ • ISBN978-4-87311-351-7 ネットワークパケットを読む会(仮) 2014/10/31 2
  3. 3. 公式サイトからダウンロードしてインス トールしましょう  http://www.wireshark.org/ ネットワークパケットを読む会(仮) 2014/10/31 3
  4. 4. 最新バージョンを利用しましょう • セキュリティ修正が含まれます • 古いバージョンは攻撃対象になります Windows 環境では同梱のWinPcap を利用 しましょう ネットワークパケットを読む会(仮) 2014/10/31 4
  5. 5. WinPcap 4.1 以降のバージョンではNPF サービスが自動起動に設定されます • [管理者として実行] しなくてもパケットキャプ チャができます • 自動起動で問題がある場合は、以下のレジストリ キーで設定が変更できます HKLMSYSTEMCurrentControlSetservices NPFStart  0x1 : SERVICE_SYSTEM_START  0x2 : SERVICE_AUTO_START  0x3 : SERVICE_DEMAND_START ネットワークパケットを読む会(仮) 2014/10/31 5
  6. 6. How To Set Up a Capture http://wiki.wireshark.org/CaptureSetup Security http://wiki.wireshark.org/Security Platform-Specific information about capture privileges http://wiki.wireshark.org/CaptureSetup/Cap turePrivileges ネットワークパケットを読む会(仮) 2014/10/31 6
  7. 7. ネットワークパケットを読む会(仮) 2014/10/31 7
  8. 8. ネットワークパケットを読む会(仮) 2014/10/31 8
  9. 9. ネットワークパケットを読む会(仮) 2014/10/31 9
  10. 10. ディスプレイサイズに応じてフォントや ウィンドウの設定をしましょう • Layout ウィンドウのレイアウトを設定します • Columns フレーム一覧のカラムを設定します • Font and Colors フォントと色を設定します ネットワークパケットを読む会(仮) 2014/10/31 10
  11. 11. ネットワークパケットを読む会(仮) 2014/10/31 11
  12. 12. 既定でキャプチャするネットワークイン ターフェイスを設定しましょう プロミスキャスモードを有効にするか設 定しましょう スクロールの設定をしましょう (非力なマシンでキャプチャする場合は “Update list of packets in real time” と Automatic scrolling in live capture” を オフにしましょう) ネットワークパケットを読む会(仮) 2014/10/31 12
  13. 13. ネットワークパケットを読む会(仮) 2014/10/31 13
  14. 14. ディスプレイフィルターを登録/編集でき ます 登録したフィルターは[Filter:] ツールバー に表示されます ネットワークパケットを読む会(仮) 2014/10/31 14
  15. 15. ネットワークパケットを読む会(仮) 2014/10/31 15
  16. 16. MAC(ネットワークアダプタ)、コン ピュータ(サーバー)名、サービス名の名 前解決をして表示するか、設定しましょう。 • ネットワーク名はDNS を参照するので負荷が大 きくなります • サービス名はポートで判断するので、クライアン ト側のサービス名は当てになりません ネットワークパケットを読む会(仮) 2014/10/31 16
  17. 17. ネットワークパケットを読む会(仮) 2014/10/31 17
  18. 18. 印刷の設定をします Plain Text だけでなく、Postscript でも出 力できます 物理プリンタに出力する以外に、ファイル に出力できます ネットワークパケットを読む会(仮) 2014/10/31 18
  19. 19. Wireshark でサポートされているプロトコ ルのそれぞれについての固有の設定を行い ます ネットワークパケットを読む会(仮) 2014/10/31 19
  20. 20. ネットワークパケットを読む会(仮) 2014/10/31 20
  21. 21.  “Reassemble HTTP bodies spanning multiple TCP segments” には要注意 有効にしていると、HTTP のBody を受信 完了したフレームにヘッダー情報も表示さ れます 実際のサーバー応答が行われたフレームを 確認したい場合は、無効にした方が分かり やすいです ネットワークパケットを読む会(仮) 2014/10/31 21
  22. 22. ネットワークパケットを読む会(仮) 2014/10/31 22
  23. 23. "Validate the TCP Checksum if possible" を有効にすると"Checksum Error" が大量 に発生する場合があります TCP Checksum Offload が有効になってい ると、Wireshark では正しいChecksum を 取得できないための現象です ネットワークパケットを読む会(仮) 2014/10/31 23
  24. 24. ネットワークパケットを読む会(仮) 2014/10/31 24
  25. 25. システムにインストールされているネット ワークインターフェイスの一覧から、 キャプチャを実行するインターフェイスを 選択します [Options] で"Capture Options" が呼び出せ ます ネットワークパケットを読む会(仮) 2014/10/31 25
  26. 26. ネットワークパケットを読む会(仮) 2014/10/31 26
  27. 27. 開始するキャプチャセッションだけに有 効な設定を行います キャプチャフィルタが設定できます • できればフィルタなしでの採取がお勧め キャプチャを直接ファイルに保存する設定 ができます キャプチャの自動停止の設定ができます ネットワークパケットを読む会(仮) 2014/10/31 27
  28. 28. スタートスクリーンの をクリック ツールバーのをクリック  Interface List やCapture Options の ボタンをクリック ネットワークパケットを読む会(仮) 2014/10/31 28
  29. 29. ネットワークパケットを読む会(仮) 2014/10/31 29
  30. 30. パケット一覧 詳細情報 バイナリ ネットワークパケットを読む会(仮) 2014/10/31 30
  31. 31. +/- をクリックして展開/折り畳み ネットワークパケットを読む会(仮) 2014/10/31 31
  32. 32. 非力なマシン上で高負荷のトラフィックを キャプチャすると、取りこぼしが起きる場 合もあります 回避策 コマンドライン版を使う(tshark) dumpcap やtcpdump、WinDump 使う ネットワークパケットを読む会(仮) 2014/10/31 32
  33. 33. [Edit] -> [Find Packet] ネットワークパケットを読む会(仮) 2014/10/31 33
  34. 34. 右クリック-> [Mark Packet] Ctrl + M ネットワークパケットを読む会(仮) 2014/10/31 34
  35. 35. ネットワークパケットを読む会(仮) 2014/10/31 35
  36. 36. [Time Display Format] で[Second Since Beginning of Capture] を選択 • この状態でキャプチャ開始からの相対時間を表示 基準にしたいパケットをクリックして [Edit] -> [Set Time Reference] (Ctrl + T) • 基準にしたパケットからの経過時間を表示 ネットワークパケットを読む会(仮) 2014/10/31 36
  37. 37. [Seconds Since Previous Captured Packet] • 直前にキャプチャしたパケットからの経過時間  [Seconds Since Previous displayed Packet] • 表示されている直前のパケットからの経過時間 ネットワークパケットを読む会(仮) 2014/10/31 37
  38. 38. キャプチャフィルタ • 特定の条件に合致したパケットだけキャプチャす るためのフィルタ • 条件に合致しないパケットは記録されない ディスプレイフィルタ • 特定の条件に合致したパケットだけ表示するため のフィルタ • 条件に合致しないパケットは表示されない • 元のキャプチャデータは変更されない ネットワークパケットを読む会(仮) 2014/10/31 38
  39. 39. ネットワークパケットを読む会(仮) 2014/10/31 39
  40. 40. ネットワークパケットを読む会(仮) 2014/10/31 40
  41. 41.  [not] primitive [and|or [not] primitive ...]  論理演算子はnot、and、or  例 • tcp port 23 and host 10.0.0.5 • tcp port 23 and not src host 10.0.0.5  詳細はヘルプ参照のこと ネットワークパケットを読む会(仮) 2014/10/31 41
  42. 42. ネットワークパケットを読む会(仮) 2014/10/31 42
  43. 43. フィルターツールバーの"Expression" を クリック ネットワークパケットを読む会(仮) 2014/10/31 43
  44. 44. == (eq) : 等しい  != (ne) : 等しくない > (gt) : 大なり < (lt) : 小なり >= (ge) : 以上 <= (le) : 以下 ネットワークパケットを読む会(仮) 2014/10/31 44
  45. 45. and (&&) : 論理積 or (||) : 論理和 xor (^^) : 排他的論理和 not (!) : 否定 ネットワークパケットを読む会(仮) 2014/10/31 45
  46. 46. host example.com host example.com and not (port 80)  !dns not broadcast and not multicast  ip.dst==192.168.0.1 ネットワークパケットを読む会(仮) 2014/10/31 46
  47. 47. ip.addr == 1.2.3.4 でIP アドレスに 1.2.3.4 を含むパケットを表示できる では、IP アドレスに1.2.3.4 を含まない パケットを表示するフィルタは?? 間違い: ip.addr != 1.2.3.4 正解: !(ip.addr == 1.2.3.4) ネットワークパケットを読む会(仮) 2014/10/31 47
  48. 48. フィルターツールバーの"Save" を クリック ネットワークパケットを読む会(仮) 2014/10/31 48
  49. 49. [Analyze] – [Display Filter] ネットワークパケットを読む会(仮) 2014/10/31 49
  50. 50. ヘルプを参照 Wireshark Wiki Display Filter page http://wiki.wireshark.org/DisplayFilters. ネットワークパケットを読む会(仮) 2014/10/31 50
  51. 51. 通常はWireshark が自動的に各フレーム (パケット)のプロトコルを解析して表示 してくれる リンク層、ネットワーク層、トランスポー ト層それぞれのプロトコルが解析される ネットワークパケットを読む会(仮) 2014/10/31 51
  52. 52. 正しく解析されない場合も多い 特にトランスポート層で既定のポート以外 を使い通信を行っている場合 ex. • 81番ポートでHTTP • 443番ポート以外でのHTTPS ネットワークパケットを読む会(仮) 2014/10/31 52
  53. 53. プロトコルのデフォルトのポートを使用し ていないトラフィックは正しいプロトコル が推測されない場合が多い キャプチャ内容などからプロトコルが分か る場合は、手動でプロトコルを指定して表 示させることができる ネットワークパケットを読む会(仮) 2014/10/31 53
  54. 54. 指定するパケットを右クリック  [Decode as…] を選択 プロトコルを指定 ネットワークパケットを読む会(仮) 2014/10/31 54
  55. 55. 1つのTCP セッション中で送受信された データをまとめて表示する フレームを右クリック– [Follow TCP Stream] ネットワークパケットを読む会(仮) 2014/10/31 55
  56. 56. ネットワークパケットを読む会(仮) 2014/10/31 56
  57. 57.  “Follow TCP Stream” を行うと、そのスト リームだけ表示するフィルタが適用される ネットワークパケットを読む会(仮) 2014/10/31 57
  58. 58. ネットワークパケットを読む会(仮) 2014/10/31 58
  59. 59. Wireshark User‘s Guide http://www.wireshark.org/docs/ wsug_html_chunked/ Wireshark Wiki http://wiki.wireshark.org/FrontPage Wireshark University http://www.wiresharktraining.com/ ネットワークパケットを読む会(仮) 2014/10/31 59

×