Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Wireshark入門 (2014版)

19,975 views

Published on

2014年10月31日開催「ネットワーク パケットを読む会 (仮)」でのセッション「いま改めて Wireshark 入門」の発表スライドです。
Wireshark の利用方法について、インストールから初期設定、パケットキャプチャの開始とフィルタリングまで解説しています。

Published in: Technology
  • Be the first to comment

Wireshark入門 (2014版)

  1. 1. インストールと パケットキャプチャの実行 2014/10/31 改定版 hebikuzure
  2. 2. 実践パケット解析――Wiresharkを使った トラブルシューティング • http://www.oreilly.co.jp/books/9784873113517/ • ISBN978-4-87311-351-7 ネットワークパケットを読む会(仮) 2014/10/31 2
  3. 3. 公式サイトからダウンロードしてインス トールしましょう  http://www.wireshark.org/ ネットワークパケットを読む会(仮) 2014/10/31 3
  4. 4. 最新バージョンを利用しましょう • セキュリティ修正が含まれます • 古いバージョンは攻撃対象になります Windows 環境では同梱のWinPcap を利用 しましょう ネットワークパケットを読む会(仮) 2014/10/31 4
  5. 5. WinPcap 4.1 以降のバージョンではNPF サービスが自動起動に設定されます • [管理者として実行] しなくてもパケットキャプ チャができます • 自動起動で問題がある場合は、以下のレジストリ キーで設定が変更できます HKLMSYSTEMCurrentControlSetservices NPFStart  0x1 : SERVICE_SYSTEM_START  0x2 : SERVICE_AUTO_START  0x3 : SERVICE_DEMAND_START ネットワークパケットを読む会(仮) 2014/10/31 5
  6. 6. How To Set Up a Capture http://wiki.wireshark.org/CaptureSetup Security http://wiki.wireshark.org/Security Platform-Specific information about capture privileges http://wiki.wireshark.org/CaptureSetup/Cap turePrivileges ネットワークパケットを読む会(仮) 2014/10/31 6
  7. 7. ネットワークパケットを読む会(仮) 2014/10/31 7
  8. 8. ネットワークパケットを読む会(仮) 2014/10/31 8
  9. 9. ネットワークパケットを読む会(仮) 2014/10/31 9
  10. 10. ディスプレイサイズに応じてフォントや ウィンドウの設定をしましょう • Layout ウィンドウのレイアウトを設定します • Columns フレーム一覧のカラムを設定します • Font and Colors フォントと色を設定します ネットワークパケットを読む会(仮) 2014/10/31 10
  11. 11. ネットワークパケットを読む会(仮) 2014/10/31 11
  12. 12. 既定でキャプチャするネットワークイン ターフェイスを設定しましょう プロミスキャスモードを有効にするか設 定しましょう スクロールの設定をしましょう (非力なマシンでキャプチャする場合は “Update list of packets in real time” と Automatic scrolling in live capture” を オフにしましょう) ネットワークパケットを読む会(仮) 2014/10/31 12
  13. 13. ネットワークパケットを読む会(仮) 2014/10/31 13
  14. 14. ディスプレイフィルターを登録/編集でき ます 登録したフィルターは[Filter:] ツールバー に表示されます ネットワークパケットを読む会(仮) 2014/10/31 14
  15. 15. ネットワークパケットを読む会(仮) 2014/10/31 15
  16. 16. MAC(ネットワークアダプタ)、コン ピュータ(サーバー)名、サービス名の名 前解決をして表示するか、設定しましょう。 • ネットワーク名はDNS を参照するので負荷が大 きくなります • サービス名はポートで判断するので、クライアン ト側のサービス名は当てになりません ネットワークパケットを読む会(仮) 2014/10/31 16
  17. 17. ネットワークパケットを読む会(仮) 2014/10/31 17
  18. 18. 印刷の設定をします Plain Text だけでなく、Postscript でも出 力できます 物理プリンタに出力する以外に、ファイル に出力できます ネットワークパケットを読む会(仮) 2014/10/31 18
  19. 19. Wireshark でサポートされているプロトコ ルのそれぞれについての固有の設定を行い ます ネットワークパケットを読む会(仮) 2014/10/31 19
  20. 20. ネットワークパケットを読む会(仮) 2014/10/31 20
  21. 21.  “Reassemble HTTP bodies spanning multiple TCP segments” には要注意 有効にしていると、HTTP のBody を受信 完了したフレームにヘッダー情報も表示さ れます 実際のサーバー応答が行われたフレームを 確認したい場合は、無効にした方が分かり やすいです ネットワークパケットを読む会(仮) 2014/10/31 21
  22. 22. ネットワークパケットを読む会(仮) 2014/10/31 22
  23. 23. "Validate the TCP Checksum if possible" を有効にすると"Checksum Error" が大量 に発生する場合があります TCP Checksum Offload が有効になってい ると、Wireshark では正しいChecksum を 取得できないための現象です ネットワークパケットを読む会(仮) 2014/10/31 23
  24. 24. ネットワークパケットを読む会(仮) 2014/10/31 24
  25. 25. システムにインストールされているネット ワークインターフェイスの一覧から、 キャプチャを実行するインターフェイスを 選択します [Options] で"Capture Options" が呼び出せ ます ネットワークパケットを読む会(仮) 2014/10/31 25
  26. 26. ネットワークパケットを読む会(仮) 2014/10/31 26
  27. 27. 開始するキャプチャセッションだけに有 効な設定を行います キャプチャフィルタが設定できます • できればフィルタなしでの採取がお勧め キャプチャを直接ファイルに保存する設定 ができます キャプチャの自動停止の設定ができます ネットワークパケットを読む会(仮) 2014/10/31 27
  28. 28. スタートスクリーンの をクリック ツールバーのをクリック  Interface List やCapture Options の ボタンをクリック ネットワークパケットを読む会(仮) 2014/10/31 28
  29. 29. ネットワークパケットを読む会(仮) 2014/10/31 29
  30. 30. パケット一覧 詳細情報 バイナリ ネットワークパケットを読む会(仮) 2014/10/31 30
  31. 31. +/- をクリックして展開/折り畳み ネットワークパケットを読む会(仮) 2014/10/31 31
  32. 32. 非力なマシン上で高負荷のトラフィックを キャプチャすると、取りこぼしが起きる場 合もあります 回避策 コマンドライン版を使う(tshark) dumpcap やtcpdump、WinDump 使う ネットワークパケットを読む会(仮) 2014/10/31 32
  33. 33. [Edit] -> [Find Packet] ネットワークパケットを読む会(仮) 2014/10/31 33
  34. 34. 右クリック-> [Mark Packet] Ctrl + M ネットワークパケットを読む会(仮) 2014/10/31 34
  35. 35. ネットワークパケットを読む会(仮) 2014/10/31 35
  36. 36. [Time Display Format] で[Second Since Beginning of Capture] を選択 • この状態でキャプチャ開始からの相対時間を表示 基準にしたいパケットをクリックして [Edit] -> [Set Time Reference] (Ctrl + T) • 基準にしたパケットからの経過時間を表示 ネットワークパケットを読む会(仮) 2014/10/31 36
  37. 37. [Seconds Since Previous Captured Packet] • 直前にキャプチャしたパケットからの経過時間  [Seconds Since Previous displayed Packet] • 表示されている直前のパケットからの経過時間 ネットワークパケットを読む会(仮) 2014/10/31 37
  38. 38. キャプチャフィルタ • 特定の条件に合致したパケットだけキャプチャす るためのフィルタ • 条件に合致しないパケットは記録されない ディスプレイフィルタ • 特定の条件に合致したパケットだけ表示するため のフィルタ • 条件に合致しないパケットは表示されない • 元のキャプチャデータは変更されない ネットワークパケットを読む会(仮) 2014/10/31 38
  39. 39. ネットワークパケットを読む会(仮) 2014/10/31 39
  40. 40. ネットワークパケットを読む会(仮) 2014/10/31 40
  41. 41.  [not] primitive [and|or [not] primitive ...]  論理演算子はnot、and、or  例 • tcp port 23 and host 10.0.0.5 • tcp port 23 and not src host 10.0.0.5  詳細はヘルプ参照のこと ネットワークパケットを読む会(仮) 2014/10/31 41
  42. 42. ネットワークパケットを読む会(仮) 2014/10/31 42
  43. 43. フィルターツールバーの"Expression" を クリック ネットワークパケットを読む会(仮) 2014/10/31 43
  44. 44. == (eq) : 等しい  != (ne) : 等しくない > (gt) : 大なり < (lt) : 小なり >= (ge) : 以上 <= (le) : 以下 ネットワークパケットを読む会(仮) 2014/10/31 44
  45. 45. and (&&) : 論理積 or (||) : 論理和 xor (^^) : 排他的論理和 not (!) : 否定 ネットワークパケットを読む会(仮) 2014/10/31 45
  46. 46. host example.com host example.com and not (port 80)  !dns not broadcast and not multicast  ip.dst==192.168.0.1 ネットワークパケットを読む会(仮) 2014/10/31 46
  47. 47. ip.addr == 1.2.3.4 でIP アドレスに 1.2.3.4 を含むパケットを表示できる では、IP アドレスに1.2.3.4 を含まない パケットを表示するフィルタは?? 間違い: ip.addr != 1.2.3.4 正解: !(ip.addr == 1.2.3.4) ネットワークパケットを読む会(仮) 2014/10/31 47
  48. 48. フィルターツールバーの"Save" を クリック ネットワークパケットを読む会(仮) 2014/10/31 48
  49. 49. [Analyze] – [Display Filter] ネットワークパケットを読む会(仮) 2014/10/31 49
  50. 50. ヘルプを参照 Wireshark Wiki Display Filter page http://wiki.wireshark.org/DisplayFilters. ネットワークパケットを読む会(仮) 2014/10/31 50
  51. 51. 通常はWireshark が自動的に各フレーム (パケット)のプロトコルを解析して表示 してくれる リンク層、ネットワーク層、トランスポー ト層それぞれのプロトコルが解析される ネットワークパケットを読む会(仮) 2014/10/31 51
  52. 52. 正しく解析されない場合も多い 特にトランスポート層で既定のポート以外 を使い通信を行っている場合 ex. • 81番ポートでHTTP • 443番ポート以外でのHTTPS ネットワークパケットを読む会(仮) 2014/10/31 52
  53. 53. プロトコルのデフォルトのポートを使用し ていないトラフィックは正しいプロトコル が推測されない場合が多い キャプチャ内容などからプロトコルが分か る場合は、手動でプロトコルを指定して表 示させることができる ネットワークパケットを読む会(仮) 2014/10/31 53
  54. 54. 指定するパケットを右クリック  [Decode as…] を選択 プロトコルを指定 ネットワークパケットを読む会(仮) 2014/10/31 54
  55. 55. 1つのTCP セッション中で送受信された データをまとめて表示する フレームを右クリック– [Follow TCP Stream] ネットワークパケットを読む会(仮) 2014/10/31 55
  56. 56. ネットワークパケットを読む会(仮) 2014/10/31 56
  57. 57.  “Follow TCP Stream” を行うと、そのスト リームだけ表示するフィルタが適用される ネットワークパケットを読む会(仮) 2014/10/31 57
  58. 58. ネットワークパケットを読む会(仮) 2014/10/31 58
  59. 59. Wireshark User‘s Guide http://www.wireshark.org/docs/ wsug_html_chunked/ Wireshark Wiki http://wiki.wireshark.org/FrontPage Wireshark University http://www.wiresharktraining.com/ ネットワークパケットを読む会(仮) 2014/10/31 59

×