nKB

nKB

シンプルにいこうよ

WireShark

ネットワークアナライザー

公式サイト


ダウンロード

wiresharkのサイトにアクセス
Wireshark · Go Deep.

Download をクリック

Windows Installer(64-bit)をクリック → 名前を付けて保存


インストール

WireShark インストール - nKB


キャプチャの種類

キャプチャフィルタ…パケット取得の際にフィルタする

ディスプレイフィルタ…表示する際にフィルタする


キャプチャフィルタ

フィルタ フィルタ例 対象とするパケット
host host 192.168.1.1 送信元もしくは宛先が指定したIPアドレスに合致するパケット
src host src host 192.168.1.1 送信元が指定したIPアドレスに合致するパケット
dst host dst host 192.168.1.1 宛先が指定したIPアドレスに合致するパケット
port port 80 送信元もしくは宛先が指定したポート番号に合致するパケット
src port src port 10000 送信元が指定したポート番号に合致するパケット
dst port dst port 80 宛先が指定したポート番号に合致するパケット
portrange portrange 1-65535 送信元もしくは宛先が指定したポート番号の範囲内のパケット
src portrange src portrange 1025-65535 送信元が指定したポート番号の範囲内のパケット
dest portrange dest portrange 1-1024 宛先が指定したポート番号の範囲内のパケット
protocol tcp
udp
icmp
指定したプロトコルに合致するパケット

参考:CaptureFilters - The Wireshark Wiki


ディスプレイフィルタ

演算子の意味

演算子 意味 演算子 意味
== eq 等しい && and 論理積(AかつB)
!= ne 等しくない || or 論理和(AまたはB)
> gt より大きい ^^ xor 排他的論理和
> lt より小さい ! not 論理否定(Aを除く)
>= ge 以上
<= le 以下


検索式

意味
ip.addr == 192.168.1.1 送信元もしくは宛先のIPアドレスを指定
tcp.port == 80 送信元もしくは宛先のポートを指定
ip.addr == 192.168.1.1 and tcp.port == 80 送信元のIPアドレスとポートを指定
ip.src == 192.168.1.1 and ip.dest 192.168.1.254 送信元のIPアドレスと宛先のIPアドレスを指定
eth.addr == 00:00:00:00:00:00:00:00 送信元もしくは宛先のMACアドレスを指定
!(ip.addr == 192.168.1.1) 送信元もしくは宛先のIPアドレスを含まない


・表示フィルタを簡単に定義する

メニュー 「分析」→「表示フィルタ式」

f:id:t2nak:20200429134730p:plain:w400


事前準備

キャプチャしたいスイッチのポートをミラー化する
PCのインターフェースにテキトーなIPアドレスを割り当てる。1.1.1.1とか絶対使わないものがよい。


起動

f:id:t2nak:20170921224147p:plain


設定

・現在時刻(YYYY-MM-DD hh:mm:ss)を表示する
表示 → 時刻表示形式 → 日時


3ハンドシェーク
パケットディテール
Flag
Syn:"Set" or "Not set"
Acknowledment:"Set" or "Not set"

SYN →
SYN+ACK ←
ACK →


キャプチャデータの自動保存

メニュー キャプチャ>オプション>出力

ファイル名を指定

容量または時間毎にキャプチャデータを保存することができる。

・・・このフィルタを利用>キャプチャフィルタ管理

新しくフィルタを定義する場合
ウィンドウの下部にある「+」ボタンをクリック

IPアドレスを指定する。ソースまたはディスティネーションのIPアドレスがXXであるパケットを対象とする
host


【キャプチャファイルをファイルサイズで分割】

  1. ”Capture Options” をクリック

  2. “Use multiple files” にチェックを入れます

  3. “Next file exery” の設定をします。

  4. ”10”、”megabyte(s)” と設定すると、10 MB ごとに新たなキャプチャファイルが作られます。

  5. “Capture Files” の“Files” に、キャプチャーファイルのファイル名を記入します


機能

フローグラフ機能

通信のやりとりを矢印で表示し、その内容を画面上に表示する機能
全てのパケットをフローグラフにするとわかりづらいので
表示フィルタを設定した上で表示するとよい

メニュー「統計」→「フローグラフ」

f:id:t2nak:20200429140129p:plain:w400

f:id:t2nak:20200429140146p:plain:w400

EOF