Wireshark入門 (2014版)
•Download as PPTX, PDF•
86 likes•23,088 views
2014年10月31日開催「ネットワーク パケットを読む会 (仮)」でのセッション「いま改めて Wireshark 入門」の発表スライドです。 Wireshark の利用方法について、インストールから初期設定、パケットキャプチャの開始とフィルタリングまで解説しています。
![WinPcap 4.1 以降のバージョンではNPF
サービスが自動起動に設定されます
• [管理者として実行] しなくてもパケットキャプ
チャができます
• 自動起動で問題がある場合は、以下のレジストリ
キーで設定が変更できます
HKLMSYSTEMCurrentControlSetservices
NPFStart
0x1 : SERVICE_SYSTEM_START
0x2 : SERVICE_AUTO_START
0x3 : SERVICE_DEMAND_START
ネットワークパケットを読む会(仮) 2014/10/31
5](https://image.slidesharecdn.com/wireshark-141031015949-conversion-gate01/85/Wireshark-2014-5-320.jpg)
![ディスプレイフィルターを登録/編集でき
ます
登録したフィルターは[Filter:] ツールバー
に表示されます
ネットワークパケットを読む会(仮) 2014/10/31
14](https://image.slidesharecdn.com/wireshark-141031015949-conversion-gate01/85/Wireshark-2014-14-320.jpg)
![システムにインストールされているネット
ワークインターフェイスの一覧から、
キャプチャを実行するインターフェイスを
選択します
[Options] で"Capture Options" が呼び出せ
ます
ネットワークパケットを読む会(仮) 2014/10/31
25](https://image.slidesharecdn.com/wireshark-141031015949-conversion-gate01/85/Wireshark-2014-25-320.jpg)
![[Edit] -> [Find Packet]
ネットワークパケットを読む会(仮) 2014/10/31
33](https://image.slidesharecdn.com/wireshark-141031015949-conversion-gate01/85/Wireshark-2014-33-320.jpg)
![右クリック-> [Mark Packet]
Ctrl + M
ネットワークパケットを読む会(仮) 2014/10/31
34](https://image.slidesharecdn.com/wireshark-141031015949-conversion-gate01/85/Wireshark-2014-34-320.jpg)
![[Time Display Format] で[Second Since
Beginning of Capture] を選択
• この状態でキャプチャ開始からの相対時間を表示
基準にしたいパケットをクリックして
[Edit] -> [Set Time Reference] (Ctrl + T)
• 基準にしたパケットからの経過時間を表示
ネットワークパケットを読む会(仮) 2014/10/31
36](https://image.slidesharecdn.com/wireshark-141031015949-conversion-gate01/85/Wireshark-2014-36-320.jpg)
![[Seconds Since Previous Captured
Packet]
• 直前にキャプチャしたパケットからの経過時間
[Seconds Since Previous displayed
Packet]
• 表示されている直前のパケットからの経過時間
ネットワークパケットを読む会(仮) 2014/10/31
37](https://image.slidesharecdn.com/wireshark-141031015949-conversion-gate01/85/Wireshark-2014-37-320.jpg)
![ [not] primitive [and|or [not] primitive ...]
論理演算子はnot、and、or
例
• tcp port 23 and host 10.0.0.5
• tcp port 23 and not src host 10.0.0.5
詳細はヘルプ参照のこと
ネットワークパケットを読む会(仮) 2014/10/31
41](https://image.slidesharecdn.com/wireshark-141031015949-conversion-gate01/85/Wireshark-2014-41-320.jpg)
![[Analyze] – [Display Filter]
ネットワークパケットを読む会(仮) 2014/10/31
49](https://image.slidesharecdn.com/wireshark-141031015949-conversion-gate01/85/Wireshark-2014-49-320.jpg)
![指定するパケットを右クリック
[Decode as…] を選択
プロトコルを指定
ネットワークパケットを読む会(仮) 2014/10/31
54](https://image.slidesharecdn.com/wireshark-141031015949-conversion-gate01/85/Wireshark-2014-54-320.jpg)
![1つのTCP セッション中で送受信された
データをまとめて表示する
フレームを右クリック–
[Follow TCP
Stream]
ネットワークパケットを読む会(仮) 2014/10/31
55](https://image.slidesharecdn.com/wireshark-141031015949-conversion-gate01/85/Wireshark-2014-55-320.jpg)
Wireshark入門 (2014版)
- 1. インストールと パケットキャプチャの実行 2014/10/31 改定版 hebikuzure
- 2. 実践パケット解析――Wiresharkを使った トラブルシューティング • http://www.oreilly.co.jp/books/9784873113517/ • ISBN978-4-87311-351-7 ネットワークパケットを読む会(仮) 2014/10/31 2
- 3. 公式サイトからダウンロードしてインス トールしましょう http://www.wireshark.org/ ネットワークパケットを読む会(仮) 2014/10/31 3
- 4. 最新バージョンを利用しましょう • セキュリティ修正が含まれます • 古いバージョンは攻撃対象になります Windows 環境では同梱のWinPcap を利用 しましょう ネットワークパケットを読む会(仮) 2014/10/31 4
- 5. WinPcap 4.1 以降のバージョンではNPF サービスが自動起動に設定されます • [管理者として実行] しなくてもパケットキャプ チャができます • 自動起動で問題がある場合は、以下のレジストリ キーで設定が変更できます HKLMSYSTEMCurrentControlSetservices NPFStart 0x1 : SERVICE_SYSTEM_START 0x2 : SERVICE_AUTO_START 0x3 : SERVICE_DEMAND_START ネットワークパケットを読む会(仮) 2014/10/31 5
- 6. How To Set Up a Capture http://wiki.wireshark.org/CaptureSetup Security http://wiki.wireshark.org/Security Platform-Specific information about capture privileges http://wiki.wireshark.org/CaptureSetup/Cap turePrivileges ネットワークパケットを読む会(仮) 2014/10/31 6
- 10. ディスプレイサイズに応じてフォントや ウィンドウの設定をしましょう • Layout ウィンドウのレイアウトを設定します • Columns フレーム一覧のカラムを設定します • Font and Colors フォントと色を設定します ネットワークパケットを読む会(仮) 2014/10/31 10
- 12. 既定でキャプチャするネットワークイン ターフェイスを設定しましょう プロミスキャスモードを有効にするか設 定しましょう スクロールの設定をしましょう (非力なマシンでキャプチャする場合は “Update list of packets in real time” と Automatic scrolling in live capture” を オフにしましょう) ネットワークパケットを読む会(仮) 2014/10/31 12
- 14. ディスプレイフィルターを登録/編集でき ます 登録したフィルターは[Filter:] ツールバー に表示されます ネットワークパケットを読む会(仮) 2014/10/31 14
- 16. MAC(ネットワークアダプタ)、コン ピュータ(サーバー)名、サービス名の名 前解決をして表示するか、設定しましょう。 • ネットワーク名はDNS を参照するので負荷が大 きくなります • サービス名はポートで判断するので、クライアン ト側のサービス名は当てになりません ネットワークパケットを読む会(仮) 2014/10/31 16
- 18. 印刷の設定をします Plain Text だけでなく、Postscript でも出 力できます 物理プリンタに出力する以外に、ファイル に出力できます ネットワークパケットを読む会(仮) 2014/10/31 18
- 19. Wireshark でサポートされているプロトコ ルのそれぞれについての固有の設定を行い ます ネットワークパケットを読む会(仮) 2014/10/31 19
- 21. “Reassemble HTTP bodies spanning multiple TCP segments” には要注意 有効にしていると、HTTP のBody を受信 完了したフレームにヘッダー情報も表示さ れます 実際のサーバー応答が行われたフレームを 確認したい場合は、無効にした方が分かり やすいです ネットワークパケットを読む会(仮) 2014/10/31 21
- 23. "Validate the TCP Checksum if possible" を有効にすると"Checksum Error" が大量 に発生する場合があります TCP Checksum Offload が有効になってい ると、Wireshark では正しいChecksum を 取得できないための現象です ネットワークパケットを読む会(仮) 2014/10/31 23
- 25. システムにインストールされているネット ワークインターフェイスの一覧から、 キャプチャを実行するインターフェイスを 選択します [Options] で"Capture Options" が呼び出せ ます ネットワークパケットを読む会(仮) 2014/10/31 25
- 27. 開始するキャプチャセッションだけに有 効な設定を行います キャプチャフィルタが設定できます • できればフィルタなしでの採取がお勧め キャプチャを直接ファイルに保存する設定 ができます キャプチャの自動停止の設定ができます ネットワークパケットを読む会(仮) 2014/10/31 27
- 28. スタートスクリーンの をクリック ツールバーのをクリック Interface List やCapture Options の ボタンをクリック ネットワークパケットを読む会(仮) 2014/10/31 28
- 30. パケット一覧 詳細情報 バイナリ ネットワークパケットを読む会(仮) 2014/10/31 30
- 31. +/- をクリックして展開/折り畳み ネットワークパケットを読む会(仮) 2014/10/31 31
- 32. 非力なマシン上で高負荷のトラフィックを キャプチャすると、取りこぼしが起きる場 合もあります 回避策 コマンドライン版を使う(tshark) dumpcap やtcpdump、WinDump 使う ネットワークパケットを読む会(仮) 2014/10/31 32
- 33. [Edit] -> [Find Packet] ネットワークパケットを読む会(仮) 2014/10/31 33
- 34. 右クリック-> [Mark Packet] Ctrl + M ネットワークパケットを読む会(仮) 2014/10/31 34
- 36. [Time Display Format] で[Second Since Beginning of Capture] を選択 • この状態でキャプチャ開始からの相対時間を表示 基準にしたいパケットをクリックして [Edit] -> [Set Time Reference] (Ctrl + T) • 基準にしたパケットからの経過時間を表示 ネットワークパケットを読む会(仮) 2014/10/31 36
- 37. [Seconds Since Previous Captured Packet] • 直前にキャプチャしたパケットからの経過時間 [Seconds Since Previous displayed Packet] • 表示されている直前のパケットからの経過時間 ネットワークパケットを読む会(仮) 2014/10/31 37
- 38. キャプチャフィルタ • 特定の条件に合致したパケットだけキャプチャす るためのフィルタ • 条件に合致しないパケットは記録されない ディスプレイフィルタ • 特定の条件に合致したパケットだけ表示するため のフィルタ • 条件に合致しないパケットは表示されない • 元のキャプチャデータは変更されない ネットワークパケットを読む会(仮) 2014/10/31 38
- 41. [not] primitive [and|or [not] primitive ...] 論理演算子はnot、and、or 例 • tcp port 23 and host 10.0.0.5 • tcp port 23 and not src host 10.0.0.5 詳細はヘルプ参照のこと ネットワークパケットを読む会(仮) 2014/10/31 41
- 43. フィルターツールバーの"Expression" を クリック ネットワークパケットを読む会(仮) 2014/10/31 43
- 44. == (eq) : 等しい != (ne) : 等しくない > (gt) : 大なり < (lt) : 小なり >= (ge) : 以上 <= (le) : 以下 ネットワークパケットを読む会(仮) 2014/10/31 44
- 45. and (&&) : 論理積 or (||) : 論理和 xor (^^) : 排他的論理和 not (!) : 否定 ネットワークパケットを読む会(仮) 2014/10/31 45
- 46. host example.com host example.com and not (port 80) !dns not broadcast and not multicast ip.dst==192.168.0.1 ネットワークパケットを読む会(仮) 2014/10/31 46
- 47. ip.addr == 1.2.3.4 でIP アドレスに 1.2.3.4 を含むパケットを表示できる では、IP アドレスに1.2.3.4 を含まない パケットを表示するフィルタは?? 間違い: ip.addr != 1.2.3.4 正解: !(ip.addr == 1.2.3.4) ネットワークパケットを読む会(仮) 2014/10/31 47
- 48. フィルターツールバーの"Save" を クリック ネットワークパケットを読む会(仮) 2014/10/31 48
- 49. [Analyze] – [Display Filter] ネットワークパケットを読む会(仮) 2014/10/31 49
- 50. ヘルプを参照 Wireshark Wiki Display Filter page http://wiki.wireshark.org/DisplayFilters. ネットワークパケットを読む会(仮) 2014/10/31 50
- 51. 通常はWireshark が自動的に各フレーム (パケット)のプロトコルを解析して表示 してくれる リンク層、ネットワーク層、トランスポー ト層それぞれのプロトコルが解析される ネットワークパケットを読む会(仮) 2014/10/31 51
- 52. 正しく解析されない場合も多い 特にトランスポート層で既定のポート以外 を使い通信を行っている場合 ex. • 81番ポートでHTTP • 443番ポート以外でのHTTPS ネットワークパケットを読む会(仮) 2014/10/31 52
- 53. プロトコルのデフォルトのポートを使用し ていないトラフィックは正しいプロトコル が推測されない場合が多い キャプチャ内容などからプロトコルが分か る場合は、手動でプロトコルを指定して表 示させることができる ネットワークパケットを読む会(仮) 2014/10/31 53
- 54. 指定するパケットを右クリック [Decode as…] を選択 プロトコルを指定 ネットワークパケットを読む会(仮) 2014/10/31 54
- 55. 1つのTCP セッション中で送受信された データをまとめて表示する フレームを右クリック– [Follow TCP Stream] ネットワークパケットを読む会(仮) 2014/10/31 55
- 57. “Follow TCP Stream” を行うと、そのスト リームだけ表示するフィルタが適用される ネットワークパケットを読む会(仮) 2014/10/31 57
- 59. Wireshark User‘s Guide http://www.wireshark.org/docs/ wsug_html_chunked/ Wireshark Wiki http://wiki.wireshark.org/FrontPage Wireshark University http://www.wiresharktraining.com/ ネットワークパケットを読む会(仮) 2014/10/31 59