【OSS情報アーカイブ】Wireshark

※当記事に記載されている情報は、古くなっている場合があります。オフィシャルサイトで最新情報をご確認ください。

「Wireshark」とは

「Wireshark」基本情報

■概要

Wireshark(ワイヤーシャーク)とは、ネットワークプロトコルアナライザ(パケット取得/プロトコル解析ツール)です。多くのプロトコルに対応し、ネットワーク上を流れるパケット情報をリアルタイムで調査できます。

■基本説明

Wiresharkは、フリーでオープンソースのパケットアナライザです。ネットワークインターフェース上を通過するネットワークパケットをキャプチャして収集し、その内容について解析できる高機能なパケット取得/プロトコル解析ツールです。

高機能でありながら、分かりやすいユーザーインターフェースを備えており、一般ユーザーでも使いやすいツールです。世界で最も広く普及しているため、ネットワーク解析を行うための定番ツールとなっています。

■経緯

1998年頃に初版がリリースされました。

もともと「Ethereal」と命名されていたプロジェクトは、商標問題のために2006年5月に「Wireshark」に改名されました。

■ユースケース

Wiresharkはさまざまな用途に利用できます。
・ネットワーク分析
・セキュリティ解析
・ネットワークトラブルシューティング
・アプリケーション開発—デバッグ用通信内容調査、通信プロトコル開発
・マルウェア感染調査—外部と不審な通信の有無、不審通信の内容、通信先の特定
・USBデバイスとの通信内容解析　など

■オフィシャルサイト情報

オフィシャルサイト

→Wireshark(Wireshark · Go Deep.)

ライセンス情報

Wiresharkのライセンスは「GNU General Public License, version 2」です。

詳細について、こちらを参照ください。
→Wireshark　→Wireshark Frequently Asked Questions　→1. General Questions　→Q 1.1: What is Wireshark?

動作環境

Wiresharkは、Windows、Linux、macOS、Solaris、FreeBSD、NetBSDなどで利用できます。

以下のインストールパッケージが提供されています。
・Windows Installer (64-bit)
・Windows Installer (32-bit)
・Windows PortableApps® (32-bit)
・macOS 10.6 and later Intel 64-bit

ダウンロード

→Wireshark　→Download Wireshark

■同様製品

同様な機能を提供する製品として、次のようなものがあります。

オープンソース製品：「tshark」「tcpdump」など。

「Wireshark」の主な特徴

■対応ネットワークインターフェース

Wiresharkはさまざまなネットワークインターフェースに対応しています。
・有線LAN
・無線LAN
・イーサネット
・IEEE 802.11
・PPP / HDLC
・ATM
・Bluetooth
・USB
・トークンリング
・フレームリレー
・FDDI　など

■対応プロトコル

Wiresharkは800以上のプロトコルに対応し、新たなプロトコルにも対応されています。

プロトコル復号化

多くのプロトコル復号化もサポートしています。
・IPsec
・ISAKMP
・Kerberos
・SNMPv3
・SSL / TLS
・WEP
・WPA / WPA2　など

プラグイン

新しいプロトコルに対応するためのプラグインを作成することも可能です。

■グラフィカルフロントエンド

WiresharkはグラフィカルなフロントエンドGUIを備えているため、直感的なパケット情報確認を行えます。

■Wiresharkコマンドライン版「tshark」

WiresharkではリッチなGUIを利用できますが、コンソールからしかアクセスできないLinuxサーバなどでは利用しにくいケースもあります。

そのような環境での利用のために、Wiresharkのコマンドライン版「tshark」が提供されています。

tsharkではコマンドラインベースでWiresharkとほぼ同様のパケットキャプチャを実行でき、さらに、キャプチャ結果をWiresharkで読み込める形式でファイルに保存できます。

そのため、「Linuxサーバ上でtsharkを使ってパケットキャプチャを実行し、結果保存ファイルをWindows上のWiresharkで分析する」というような利用も可能です。

■開発コミュニティ

Wiresharkは熱心な開発コミュニティにより開発されています。

年次教育会議「SharkFest」

「SharkFest」とは、Wiresharkの年次教育会議です。

Wiresharkの開発者コミュニティとユーザーコミュニティ間で、知識/経験/ベストプラクティスなどを共有することなどを目的としています。出席者は、熟練した専門家による講義やラボベースセッションに参加して、最新のパケット分析技術を習得しています。

SharkFestは「継続的なWireshark開発を支援」「ITプロフェッショナルの将来の世代教育」を促進しています。

→Wireshark　→What is SharkFest?

「Wireshark」のキャプチャ機能

「Wireshark」のキャプチャ機能

■キャプチャフィルタ機能

Wiresharkでは、キャプチャ時にあらかじめ指定しておいた条件に合致するパケットのみを取得する「キャプチャフィルタ(CaputureFilters)」機能が用意されています。プロトコル/ポート/IPアドレスなどの複数の条件を組み合わせてフィルタリングできます。

パケットキャプチャデータはファイルサイズが大きくなりがちになるため、長時間のキャプチャを行う場合はキャプチャフィルタを利用して目的のパケットのみをキャプチャすることでファイルサイズを削減できます。

「pcap-filter」ルール

フィルタを行うための書式は「pcap-filter」と呼ばれるルールに従って記述する必要があります。pcap-filterでは「type(パケットタイプ)」「dir(通信方向)」「proto(プロトコル)」の3つの要素で構成さます。

「tcp port http」と設定することで「TCPでポート番号80(HTTP)を使用するパケット」のみをキャプチャできます。

→tcpdump　→PCAP-FILTER

■プロミスキャスモード

キャプチャに関する設定で、「プロミスキャスモード」にチェックを入れてキャプチャを実行すると、利用できるネットワーク上を流れるパケットについて、対象インターフェース宛以外のパケットも収集できます。

■リモートキャプチャ機能

リモートマシンでパケットをキャプチャし、TZSPプロトコルまたはOmniPeekで使用されるプロトコルを使用して、Wiresharkを実行しているマシンにキャプチャしたパケットを送信することで、リモートキャプチャを行えます。

「Wireshark」のキャプチャ表示機能

「Wireshark」のキャプチャ表示機能

■概要

Wiresharkを実行しているPCで利用できる「ネットワークインターフェース」と「そのインターフェース上を流れるトラフィック量」がリアルタイムでグラフ表示され、簡易的なトラフィックモニタとして利用できます。

また、キャプチャしたパケットについて、リアルタイムでリスト表示できます。
・パケット情報統計表示
・パケット詳細情報表示
・パケットデータダンプ表示(16進数)
・プロトコルに応じて分かりやすくデコードされた内容表示

■応答パケット表示

リスト表示には、「→」「←」で表示されるマークにより、送信パケットと応答パケットを把握できます。

「→」マークは送信パケットを表し、「←」マークは応答パケットを意味します。

■パケット詳細表示

リスト内に表示されているパケットを選択すると画面の最下部に詳細データが表示されます。

対象プロトコルに応じて分かりやすいようにデコードされた内容が表示され、パケット内容について「HTTPによるGETアクセス」や「HTTPヘッダ情報」などを確認できます。

■色分け表示機能

パケットリスト表示について、色分けルールを指定して、条件に応じて色分け表示できます。独自ルールの追加も可能です。

ユーザーが一目でトラフィックの種類を識別できるため、迅速で直感的な分析が可能になります。

■表示フィルタ機能

Wiresharkのデフォルト設定では、キャプチャされたすべてのパケット情報が表示されますが、表示フィルタ設定により、特定パケットのみの表示が可能です。

「TCPのみ」「httpのみ」など特定のトラフィックのみを表示できます。

「Wireshark」の入出力機能

「Wireshark」の入出力機能

■ネットワークトレースファイル形式

Wiresharkのネイティブネットワークトレースファイル形式は「libpcap形式」です。

同じ形式を使用する他のアナライズツールと交換できます。

■入力機能

他のアナライザツールで記録/保存したファイルの読み込みが可能です。
・tcpdump (libpcap)
・Microsoft Network Monitor
・Novell LANalyzer　など

■出力機能

キャプチャ結果は、以下の形式でエクスポートできます。
・XML
・PostScript
・CSV
・プレーンテキスト　など

「Wireshark」の分析/統計機能

「Wireshark」の分析/統計機能

■概要

Wiresharkでは、キャプチャしたパケットについて分析/統計解析できる機能も搭載しています。

「プロトコル単位の統計情報」「IPv4/IPv6単位の統計情報」などさまざまな情報を確認できます。

■統計情報(入出力グラフ)

「入出力グラフ」では、表示フィルタで指定した対象のパケットについて、その数の時間変化をグラフで表示できます。

■追跡機能

分析メニューの「追跡機能」を使用すると、選択したパケットに対してプロトコルに応じた通信内容の追跡を行えます。

ターゲットとするパケットに関連する一連の通信内容をひとまとめにして確認できます。

■文字コード指定

文字コードを指定して表示することもできるため、送受信されているHTMLデータについてチェックできます。

　

参考元サイト

• Wireshark
• Wikipedia　→Wireshark
• さくらのナレッジ 　→Wiresharkを使った通信監視（前編）――基本的な使い方とパケット解析
• さくらのナレッジ 　→Wiresharkを使った通信監視（後編）――コマンドラインベースでのパケットキャプチャ

※定期的にメンテナンスを実施しておりますが、一部情報が古い場合がございます。ご了承ください。

この記事のタグ一覧

• Wireshark

  1

• 一覧はこちら
• 次の記事へ