1. インストールと
パケットキャプチャの実行
2014/10/31 改定版
hebikuzure

2. 実践パケット解析――Wiresharkを使った
トラブルシューティング
• http://www.oreilly.co.jp/books/9784873113517/
• ISBN978-4-87311-351-7
ネットワークパケットを読む会(仮) 2014/10/31
2

3. 公式サイトからダウンロードしてインス
トールしましょう
 http://www.wireshark.org/
ネットワークパケットを読む会(仮) 2014/10/31
3

4. 最新バージョンを利用しましょう
• セキュリティ修正が含まれます
• 古いバージョンは攻撃対象になります
Windows 環境では同梱のWinPcap を利用
しましょう
ネットワークパケットを読む会(仮) 2014/10/31
4

5. WinPcap 4.1 以降のバージョンではNPF
サービスが自動起動に設定されます
• [管理者として実行] しなくてもパケットキャプ
チャができます
• 自動起動で問題がある場合は、以下のレジストリ
キーで設定が変更できます
HKLMSYSTEMCurrentControlSetservices
NPFStart
 0x1 : SERVICE_SYSTEM_START
 0x2 : SERVICE_AUTO_START
 0x3 : SERVICE_DEMAND_START
ネットワークパケットを読む会(仮) 2014/10/31
5

6. How To Set Up a Capture
http://wiki.wireshark.org/CaptureSetup
Security
http://wiki.wireshark.org/Security
Platform-Specific information about
capture privileges
http://wiki.wireshark.org/CaptureSetup/Cap
turePrivileges
ネットワークパケットを読む会(仮) 2014/10/31
6

7. ネットワークパケットを読む会(仮) 2014/10/31
7

8. ネットワークパケットを読む会(仮) 2014/10/31
8

9. ネットワークパケットを読む会(仮) 2014/10/31
9

10. ディスプレイサイズに応じてフォントや
ウィンドウの設定をしましょう
• Layout
ウィンドウのレイアウトを設定します
• Columns
フレーム一覧のカラムを設定します
• Font and Colors
フォントと色を設定します
ネットワークパケットを読む会(仮) 2014/10/31
10

11. ネットワークパケットを読む会(仮) 2014/10/31
11

12. 既定でキャプチャするネットワークイン
ターフェイスを設定しましょう
プロミスキャスモードを有効にするか設
定しましょう
スクロールの設定をしましょう
（非力なマシンでキャプチャする場合は
“Update list of packets in real time” と
Automatic scrolling in live capture” を
オフにしましょう）
ネットワークパケットを読む会(仮) 2014/10/31
12

13. ネットワークパケットを読む会(仮) 2014/10/31
13

14. ディスプレイフィルターを登録/編集でき
ます
登録したフィルターは[Filter:] ツールバー
に表示されます
ネットワークパケットを読む会(仮) 2014/10/31
14

15. ネットワークパケットを読む会(仮) 2014/10/31
15

16. MAC（ネットワークアダプタ）、コン
ピュータ（サーバー）名、サービス名の名
前解決をして表示するか、設定しましょう。
• ネットワーク名はDNS を参照するので負荷が大
きくなります
• サービス名はポートで判断するので、クライアン
ト側のサービス名は当てになりません
ネットワークパケットを読む会(仮) 2014/10/31
16

17. ネットワークパケットを読む会(仮) 2014/10/31
17

18. 印刷の設定をします
Plain Text だけでなく、Postscript でも出
力できます
物理プリンタに出力する以外に、ファイル
に出力できます
ネットワークパケットを読む会(仮) 2014/10/31
18

19. Wireshark でサポートされているプロトコ
ルのそれぞれについての固有の設定を行い
ます
ネットワークパケットを読む会(仮) 2014/10/31
19

20. ネットワークパケットを読む会(仮) 2014/10/31
20

21.  “Reassemble HTTP bodies spanning
multiple TCP segments” には要注意
有効にしていると、HTTP のBody を受信
完了したフレームにヘッダー情報も表示さ
れます
実際のサーバー応答が行われたフレームを
確認したい場合は、無効にした方が分かり
やすいです
ネットワークパケットを読む会(仮) 2014/10/31
21

22. ネットワークパケットを読む会(仮) 2014/10/31
22

23. "Validate the TCP Checksum if possible"
を有効にすると"Checksum Error" が大量
に発生する場合があります
TCP Checksum Offload が有効になってい
ると、Wireshark では正しいChecksum を
取得できないための現象です
ネットワークパケットを読む会(仮) 2014/10/31
23

24. ネットワークパケットを読む会(仮) 2014/10/31
24

25. システムにインストールされているネット
ワークインターフェイスの一覧から、
キャプチャを実行するインターフェイスを
選択します
[Options] で"Capture Options" が呼び出せ
ます
ネットワークパケットを読む会(仮) 2014/10/31
25

26. ネットワークパケットを読む会(仮) 2014/10/31
26

27. 開始するキャプチャセッションだけに有
効な設定を行います
キャプチャフィルタが設定できます
• できればフィルタなしでの採取がお勧め
キャプチャを直接ファイルに保存する設定
ができます
キャプチャの自動停止の設定ができます
ネットワークパケットを読む会(仮) 2014/10/31
27

28. スタートスクリーンの
をクリック
ツールバーのをクリック
 Interface List やCapture Options の
ボタンをクリック
ネットワークパケットを読む会(仮) 2014/10/31
28

29. ネットワークパケットを読む会(仮) 2014/10/31
29

30. パケット一覧
詳細情報
バイナリ
ネットワークパケットを読む会(仮) 2014/10/31
30

31. +/- をクリックして展開/折り畳み
ネットワークパケットを読む会(仮) 2014/10/31
31

32. 非力なマシン上で高負荷のトラフィックを
キャプチャすると、取りこぼしが起きる場
合もあります
回避策
コマンドライン版を使う（tshark）
dumpcap やtcpdump、WinDump 使う
ネットワークパケットを読む会(仮) 2014/10/31
32

33. [Edit] -> [Find Packet]
ネットワークパケットを読む会(仮) 2014/10/31
33

34. 右クリック-> [Mark Packet]
Ctrl + M
ネットワークパケットを読む会(仮) 2014/10/31
34

35. ネットワークパケットを読む会(仮) 2014/10/31
35

36. [Time Display Format] で[Second Since
Beginning of Capture] を選択
• この状態でキャプチャ開始からの相対時間を表示
基準にしたいパケットをクリックして
[Edit] -> [Set Time Reference] (Ctrl + T)
• 基準にしたパケットからの経過時間を表示
ネットワークパケットを読む会(仮) 2014/10/31
36

37. [Seconds Since Previous Captured
Packet]
• 直前にキャプチャしたパケットからの経過時間
 [Seconds Since Previous displayed
Packet]
• 表示されている直前のパケットからの経過時間
ネットワークパケットを読む会(仮) 2014/10/31
37

38. キャプチャフィルタ
• 特定の条件に合致したパケットだけキャプチャす
るためのフィルタ
• 条件に合致しないパケットは記録されない
ディスプレイフィルタ
• 特定の条件に合致したパケットだけ表示するため
のフィルタ
• 条件に合致しないパケットは表示されない
• 元のキャプチャデータは変更されない
ネットワークパケットを読む会(仮) 2014/10/31
38

39. ネットワークパケットを読む会(仮) 2014/10/31
39

40. ネットワークパケットを読む会(仮) 2014/10/31
40

41.  [not] primitive [and|or [not] primitive ...]
 論理演算子はnot、and、or
 例
• tcp port 23 and host 10.0.0.5
• tcp port 23 and not src host 10.0.0.5
 詳細はヘルプ参照のこと
ネットワークパケットを読む会(仮) 2014/10/31
41

42. ネットワークパケットを読む会(仮) 2014/10/31
42

43. フィルターツールバーの"Expression" を
クリック
ネットワークパケットを読む会(仮) 2014/10/31
43

44. == (eq) : 等しい
 != (ne) : 等しくない
> (gt) : 大なり
< (lt) : 小なり
>= (ge) : 以上
<= (le) : 以下
ネットワークパケットを読む会(仮) 2014/10/31
44

45. and (&&) : 論理積
or (||) : 論理和
xor (^^) : 排他的論理和
not (!) : 否定
ネットワークパケットを読む会(仮) 2014/10/31
45

46. host example.com
host example.com and not (port 80)
 !dns
not broadcast and not multicast
 ip.dst==192.168.0.1
ネットワークパケットを読む会(仮) 2014/10/31
46

47. ip.addr == 1.2.3.4 でIP アドレスに
1.2.3.4 を含むパケットを表示できる
では、IP アドレスに1.2.3.4 を含まない
パケットを表示するフィルタは??
間違い: ip.addr != 1.2.3.4
正解: !(ip.addr == 1.2.3.4)
ネットワークパケットを読む会(仮) 2014/10/31
47

48. フィルターツールバーの"Save" を
クリック
ネットワークパケットを読む会(仮) 2014/10/31
48

49. [Analyze] – [Display Filter]
ネットワークパケットを読む会(仮) 2014/10/31
49

50. ヘルプを参照
Wireshark Wiki Display Filter page
http://wiki.wireshark.org/DisplayFilters.
ネットワークパケットを読む会(仮) 2014/10/31
50

51. 通常はWireshark が自動的に各フレーム
（パケット）のプロトコルを解析して表示
してくれる
リンク層、ネットワーク層、トランスポー
ト層それぞれのプロトコルが解析される
ネットワークパケットを読む会(仮) 2014/10/31
51

52. 正しく解析されない場合も多い
特にトランスポート層で既定のポート以外
を使い通信を行っている場合
ex.
• 81番ポートでHTTP
• 443番ポート以外でのHTTPS
ネットワークパケットを読む会(仮) 2014/10/31
52

53. プロトコルのデフォルトのポートを使用し
ていないトラフィックは正しいプロトコル
が推測されない場合が多い
キャプチャ内容などからプロトコルが分か
る場合は、手動でプロトコルを指定して表
示させることができる
ネットワークパケットを読む会(仮) 2014/10/31
53

54. 指定するパケットを右クリック
 [Decode as…] を選択
プロトコルを指定
ネットワークパケットを読む会(仮) 2014/10/31
54

55. 1つのTCP セッション中で送受信された
データをまとめて表示する
フレームを右クリック–
[Follow TCP
Stream]
ネットワークパケットを読む会(仮) 2014/10/31
55

56. ネットワークパケットを読む会(仮) 2014/10/31
56

57.  “Follow TCP Stream” を行うと、そのスト
リームだけ表示するフィルタが適用される
ネットワークパケットを読む会(仮) 2014/10/31
57

58. ネットワークパケットを読む会(仮) 2014/10/31
58

59. Wireshark User‘s Guide
http://www.wireshark.org/docs/
wsug_html_chunked/
Wireshark Wiki
http://wiki.wireshark.org/FrontPage
Wireshark University
http://www.wiresharktraining.com/
ネットワークパケットを読む会(仮) 2014/10/31
59