あなたのネットワークは安全ですか? Wiresharkでネットワークトラフィックを分析する方法

Wiresharkは、世界中のセキュリティ専門家が使用する主要なネットワークプロトコルアナライザです。これにより、コンピュータネットワークの異常を検出し、根本的な原因を見つけることができます。次のセクションでは、Wiresharkの使用方法を示します。

それで、それはどのように機能しますか?また、実際にWiresharkを使用してデータパケットをキャプチャするにはどうすればよいですか?

Wiresharkはどのように機能しますか?

Wiresharkの堅牢な機能セットは、ネットワークの問題をトラブルシューティングするための最良のツールの1つになっています。ネットワーク管理者、セキュリティ監査人、マルウェアアナリスト、さらには攻撃者など、多くの人がWiresharkを使用しています。

これにより、ライブまたは保存されたネットワークパケットの詳細な検査を実行できます。 Wiresharkを使い始めると、提供できる情報の量に魅了されます。ただし、情報が多すぎると、軌道に乗ることが困難になることがよくあります。

幸い、Wiresharkの高度なフィルタリング機能を使用してこれを軽減できます。それらについては後で詳しく説明します。ワークフローは、ネットワークパケットをキャプチャし、必要な情報を除外することで構成されます。

パケットキャプチャにWiresharkを使用する方法

Wiresharkを起動すると、システムに接続されているネットワークインターフェイスが表示されます。各インターフェイスの横にあるネットワーク通信を表す曲線に注意してください。

ここで、パケットのキャプチャを開始する前に、特定のインターフェイスを選択する必要があります。これを行うには、インターフェイス名を選択し、ヨシキリザメのひれのアイコンをクリックします。インターフェイス名をダブルクリックしてこれを行うこともできます。

Wiresharkは、選択したインターフェイスの着信パケットと発信パケットのキャプチャを開始します。赤い一時停止アイコンをクリックして、キャプチャを停止します。このプロセス中に取得されたネットワークパケットのリストが表示されます。

Wiresharkは、プロトコルと一緒に各パケットの送信元と宛先を表示します。ただし、ほとんどの場合、情報フィールドの内容に関心があります。

個々のパケットをクリックすると、それらを検査できます。このようにして、パケットデータ全体を表示できます。

キャプチャしたパケットをWiresharkに保存する方法

Wiresharkは大量のトラフィックをキャプチャするため、後で検査するためにそれらを保存したい場合があります。幸い、キャプチャしたパケットをWiresharkで保存するのは簡単です。

パケットを保存するには、アクティブなセッションを停止します。次に、トップメニューにあるファイルアイコンをクリックします。 Ctrl + Sを使用してこれを行うこともできます。

Wiresharkは、pcapng、pcap、dmpなどのいくつかの形式でパケットを保存できます。キャプチャしたパケットを、他のネットワーク分析ツールが後で使用できる形式で保存することもできます。

キャプチャされたパケットを分析する方法

キャプチャファイルを開くと、以前にキャプチャされたパケットを分析できます。メインウィンドウが表示されたら、[ファイル] > [開く]をクリックして、関連する保存済みファイルを選択します。

Ctrl + Oを使用してこれをすばやく行うこともできます。パケットを分析したら、 [ファイル]> [閉じる]に移動して検査ウィンドウを終了します

Wiresharkフィルターの使用方法

Wiresharkは、多数の堅牢なフィルタリング機能を提供します。フィルタには、表示フィルタとキャプチャフィルタの2種類があります。

Wiresharkディスプレイフィルターの使用

表示フィルタは、キャプチャされたすべてのパケットから特定のパケットを表示するために使用されます。たとえば、display filter icmpを使用して、すべてのICMPデータパケットを表示できます。

多数のフィルターから選択できます。さらに、簡単なタスクのカスタムフィルタリングルールを定義することもできます。パーソナライズされたフィルターを追加するには、 [分析]> [フィルターの表示]に移動します。 +アイコンをクリックして、新しいフィルターを追加します。

Wiresharkキャプチャフィルターの使用

キャプチャフィルタは、Wiresharkセッション中にキャプチャするパケットを指定するために使用されます。標準のキャプチャよりも大幅に少ないパケットを生成します。特定のパケットに関する特定の情報が必要な状況でそれらを使用できます。

メインウィンドウのインターフェイスリストのすぐ上のフィールドにキャプチャフィルタを入力します。リストからインターフェース名を選択し、上記のフィールドにフィルター名を入力します。

ヨシキリザメのひれのアイコンをクリックして、パケットのキャプチャを開始します。次の例では、 arpフィルターを使用してARPトランザクションのみをキャプチャします。

Wiresharkのカラーリングルールの使用

Wiresharkには、以前はカラーフィルターと呼ばれていたいくつかのカラーリングルールが用意されています。これは、大規模なネットワークトラフィックを分析するときに備えている優れた機能です。好みに基づいてカスタマイズすることもできます。

現在のカラーリングルールを表示するには、 [表示]> [カラーリングルール]に移動します。ここで、インストールのデフォルトのカラーリングルールを見つけることができます。

好きなように変更できます。さらに、構成ファイルをインポートすることで、他の人の色付けルールを使用することもできます。

カスタムルールを含むファイルをダウンロードし、 [表示]> [カラーリングルール]> [インポート]を選択してインポートします。同様にルールをエクスポートできます。

Wiresharkの動作

これまで、Wiresharkのコア機能のいくつかについて説明してきました。これらがどのように統合されるかを示すために、いくつかの実際的な操作を実行してみましょう。

このデモ用に基本的な囲碁サーバーを作成しました。リクエストごとに簡単なテキストメッセージを返します。サーバーが実行されたら、いくつかのHTTPリクエストを作成し、ライブトラフィックをキャプチャします。ローカルホストでサーバーを実行していることに注意してください。

まず、Loopback(localhost)インターフェイスをダブルクリックしてパケットキャプチャを開始します。次のステップは、ローカルサーバーを起動し、GETリクエストを送信することです。これを行うためにcurlを使用しています。

Wiresharkは、この会話中にすべての着信パケットと発信パケットをキャプチャします。サーバーから送信されたデータを表示したいので、 http.response表示フィルターを使用して応答パケットを表示します。

これで、Wiresharkはキャプチャされた他のすべてのパケットを非表示にし、応答パケットのみを表示します。パケットの詳細をよく見ると、サーバーから送信されたプレーンテキストデータに気付くはずです。

便利なWiresharkコマンド

さまざまなWiresharkコマンドを使用して、Linuxターミナルからソフトウェアを制御することもできます。基本的なWiresharkコマンドは次のとおりです。

  • wiresharkのは、グラフィカルモードでのWiresharkを起動します。
  • wireshark -hは、使用可能なコマンドラインオプションを表示します。
  • wireshark -i INTERFACEは、キャプチャインターフェイスとしてINTERFACEを選択します。

Tsharkは、Wiresharkのコマンドライン代替手段です。それはすべての重要な機能をサポートし、非常に効率的です。

Wiresharkでネットワークセキュリティを分析する

Wiresharkの豊富な機能セットと高度なフィルタリングルールにより、パケット分析が生産的かつ簡単になります。これを使用して、ネットワークに関するあらゆる種類の情報を見つけることができます。その最も基本的な機能を試して、パケット分析にWiresharkを使用する方法を学びます。

Wiresharkは、Windows、macOS、およびLinuxを実行しているデバイスにダウンロードできます