Wireshark入門(2)

Wireshark の分析機能
2014/11/28 改定版
Murachi Akira aka hebikuzure

実践パケット解析――Wiresharkを使った
トラブルシューティング
• http://www.oreilly.co.jp/books/9784873113517/
• ISBN978-4-87311-351-7
ネットワークパケットを読む会(仮) 2014/11/28
2

公式サイトからダウンロードしてインス
トールしましょう
http://www.wireshark.org/
3

最新バージョンを利用しましょう
• セキュリティ修正が含まれます
• 古いバージョンは攻撃対象になります
Windows 環境では同梱のWinPcap を利用
しましょう
4

WinPcap 4.1 以降のバージョンではNPF
サービスが自動起動に設定されます
• [管理者として実行] しなくてもパケットキャプ
チャができます
• 自動起動で問題がある場合は、以下のレジストリ
キーで設定が変更できます
HKLMSYSTEMCurrentControlSetservices
NPFStart
 0x1 : SERVICE_SYSTEM_START
 0x2 : SERVICE_AUTO_START
 0x3 : SERVICE_DEMAND_START
5

How To Set Up a Capture
http://wiki.wireshark.org/CaptureSetup
Security
http://wiki.wireshark.org/Security
Platform-Specific information about
capture privileges
http://wiki.wireshark.org/CaptureSetup/Cap
turePrivileges
6

MAC アドレス
• MAC アドレス⇒ IP アドレスに解決（arp）
• MAC アドレスの上位3バイト⇒ ベンダー名
IP アドレス
• IP アドレス⇒ ホスト名（DNS）
ポート番号
• ポート番号⇒プロトコル名（well-known ports ）
7

IP アドレスの名前解決のためキャプチャ
時、キャプチャファイルを開く際にDNS
アクセスが行われる
• トラフィックの増加
• 処理時間の増加
ポート番号の名前解決ではwell-known
ports 以外のトラフィックが正しく表示さ
れない（かえって分かりにくくなる）
8

[Capture] – [Options] の
“Name Resolution” セクション
9

[View] – [Name Resolution]
10

パケットリストで右クリック
- [Manually Resolve Address]
11

[Address] 欄で送信元か相手先かを選択
[Name] 欄に名前を入力
[Enable network name resolution] が無効
の場合は有効にする
12

Expert Info Composite 機能
対話(Conversations) 統計機能
終端(Endpoint) 統計機能
プロトコル階層(Protocol Hierarchy) 機能
IO Graph 機能
13

個々のパケットの解析の繰り返しでは抽出
するのが困難な大量のデータ
特異パケットを自動抽出
マクロ的分析
データの可視化
14

 [Statistics] – [Summary]
15

Expert Info Composite 機能
[Analyze] – [Expert Info Composite]
または
ここをクリック
16

特異情報があるパケットが分類されて表示
される
17

不正パケット、チェックサムエラーなど
• チェックサムエラーはChecksum Offload のため
で、問題ない場合がほとんど
18

キャプチャ時、NIC のChecksum Offload
を無効にする
• 基本的にネットワークドライバー側の設定
• Windows なら[デバイスマネージャー] からネッ
トワークアダプターのプロパティーを開いて設定
できる
19

 [Edit] – [Preference] – [Protocols]
で[IPv4] (または[IPv6]) の
[Validate the IPv4 checksum if possible]
を無効にする
20

sequence number の不一致、Window サ
イズの問題、fast retransmission など
21

再送、重複ACK、特異なTTL 、アプリ
ケーションレベルのエラーなど
22

リクエスト/レスポンスごとに分類
23

分析情報のあるすべてのパケットを表示
24

対話(Conversations) 統計機能
終端(Endpoint) 統計機能
Top N 分析/ パレート分析に
利用できる
25

 [Statistics] – [Conversations]
26

送信元/宛先MAC アドレスの組み合わせご
との情報を表示
27

送信元/宛先IP アドレスの組み合わせごと
に情報を表示
28

送信元IP・PORT / 宛先IP・PROT の組み
合わせごとに情報を表示
29

特定のプロトコルだけのリストを作成する
場合は
[Statistics] – [Conversation List]
からプロトコルを選択する
30

[Statistics] – [Endpoints]

特定のエンドポイントだけのリストを作成
する場合は
[Statistics] – [Endpoint List]
からプロトコルを選択する
32

 [Statistics] – [Protocol Hierarchy]
33

IO Graph 機能
 [Statistics] – [IO Graphs]
34

35

X Axis : X 軸（横軸）の調整
• Tick interval
プロット間隔時間の調整
• Pixels per tick
プロット表示間隔の調整
• View as time of day
• 表示時間フォーマットの変更
36

X Axis の設定
37

Y Axis : Y 軸（縦軸）の調整
• Unit
表示単位の切り替え
Packet 数, Byte数, Bit数, Advanced
• Scale
目盛のスケールの切り替え
38

Y Axis の設定
39

[Graphs] セクション– [Filter]
Display Filter と同じ書式でフィルタを
設定する
[Graph n] ボタンで表示/非表示を切替え
40

[Graphs] セクション– [Filter]
41

[Save] ボタン
作成したグラフを画像として保存できる
42

TCP Stream Graph 機能
 [Statistics]
– [TCP Stream Graph]
– 作成するグラフの種類を選択
43

44

Graph Control ウィンドウの
[Graph Type] タブで切り替えできる
45

46

47

48

49

50

51

Wireshark User‘s Guide
http://www.wireshark.org/docs/
wsug_html_chunked/
Wireshark Wiki
http://wiki.wireshark.org/FrontPage
Wireshark University
http://www.wiresharktraining.com/
52

Wireshark入門(2)

Wireshark入門(2)

Recommended

More Related Content

What's hot

What's hot(20)

Similar to Wireshark入門(2)

Similar to Wireshark入門(2)(20)

More from 彰村地

More from 彰村地(20)

Recently uploaded

Recently uploaded(7)