WireSharkでパケットをキャプチャする方法は？

Wiresharkは、ネットワークを通過するデータを人間が読める形式に変換する非常に貴重なネットワーク分析ツールです。ネットワークまたはセキュリティの問題のトラブルシューティング、プロトコル実装のデバッグ、またはWiresharkでパケットをキャプチャすることによるトラフィックの監視を行うことができます。

ネットワークで何が起こっているかをよく見て、必要な情報を正確に収集してください。Wiresharkでさまざまなタイプのパケットをキャプチャする方法は次のとおりです。

パケットをキャプチャする方法

Wiresharkでキャプチャプロセスを開始するには、数回クリックするだけです。キャプチャモードを開始するだけで、データはフィルタリングなしで受信を開始します。このフィルタリングされていないモードは、何が起こっているのかを完全に説明する必要がある場合に最適ですが、この方法で収集されるデータの量は膨大になる可能性があります。管理しやすくするために、フィルターを使用して特定の種類のデータのみを収集できます。以下にその手順を示します。

今のところ、Wiresharkですべてのパケットのキャプチャを開始する方法を見てみましょう。

• Wiresharkの最新バージョンがインストールされていることを確認してください。このプログラムは、Wiresharkの公式Webサイトから無料でダウンロードできます。

• プログラムを実行します。検出されたネットワークのリストが表示されたウェルカム画面が表示されます。

• 次のいずれかの方法でパケットのキャプチャを開始します。
  • リストで選択したネットワークをダブルクリックします。
  • 1つまたは複数のネットワークインターフェイスを選択し、ツールバーのシャークフィンアイコンをクリックするか、メニューバーの[キャプチャ]、[開始]の順にクリックします。

ノート。[キャプチャ]、[オプション]の順にクリックして開始する前に、無差別モードなどのキャプチャオプションを設定できます。

ネットワークインターフェイスまたはスタートボタンを押すとすぐに、キャプチャ画面が表示されます。Wiresharkがデータパケットをリアルタイムでキャプチャする方法を確認できます。収集されたデータの量に満足したら、上部のツールバーにある赤い停止ボタンをクリックして、キャプチャを停止できます。今すぐデータの分析を開始するか、メニューバーから[ファイル]、[名前を付けて保存…]の順にクリックしてデータを保存します。

UDPパケットをキャプチャする方法

上記の手順に従うと、プログラムはすべてのパケットをキャプチャするように求められます。Wiresharkでは色分けのおかげでさまざまな種類のトラフィックを簡単に区別できますが、それでも多くのデータをふるいにかける必要があります。特定のパッケージに関する情報のみを探している場合は、フィルターを使用して作業を簡単にすることができます。

Wiresharkは、キャプチャおよび表示フィルターをサポートしています。キャプチャフィルタを使用すると、プログラムは定義したパケットのみをキャプチャします。表示フィルタは、すでにキャプチャされたパケットをフィルタリングするだけです。2つのフィルターの動作は異なり、使用するコマンドも異なるため、どちらがニーズに最も適しているかを判断する必要があります。

UDPトラフィックのみをキャプチャする場合は、キャプチャプロセスを開始する前にキャプチャフィルタを使用してください。

• Wiresharkを起動します。

• ウェルカム画面でキャプチャフィルターパネルを見つけます。これは、ネットワークのリストのすぐ上にあります。

• [キャプチャフィルタ]フィールドに「udp」と入力し、Enterキーを押してUDPトラフィックのキャプチャを開始します。フィルタをさらに指定する場合は、「udp」の後に特定のポートを追加することもできます。

アドバイス。キャプチャフィルターを設定する別の方法は、メニューから[キャプチャ]、[オプション]の順にクリックすることです。フィルタパネルは、キャプチャインターフェイスの下部にあります。

WiresharkDHCPパケットをキャプチャする方法

DHCPパケットを排他的にキャプチャするには、キャプチャフィルタに適切なポート番号を入力する必要があります。DHCPパケットをキャプチャするには、キャプチャフィルタ「ポート67」または「ポート68」、あるいは2つの「ポート67またはポート68」の組み合わせを使用します。

同様に、表示フィルターは、キャプチャ画面でDHCPパケットをフィルターで除外できます。ただし、表示フィルターはキャプチャフィルターとは異なる構文を使用することに注意してください。表示フィルター行に「udp.port==68」と入力する必要があります。

pingパケットをキャプチャする方法

Wiresharkでpingパケット（インターネット制御メッセージプロトコル（ICMP）エコートラフィックとも呼ばれます）をキャプチャする最良の方法は、キャプチャモードで表示フィルタを使用することです。これがプロセスです。

• Wiresharkを開き、上記のようにキャプチャプロセスを開始します。

• コマンドプロンプトを開き、選択したアドレスにpingを実行します。

• Wiresharkに戻り、キャプチャプロセスを停止します。

• 表示フィルター行に「icmp」と入力し、Enterキーを押して、pingフィルターを作成します。

パケットリストに要求とping応答の両方が表示されます。

Wireshark特定のIPアドレスからパケットをキャプチャする方法

キャプチャを特定のIPアドレスに集中させる場合は、キャプチャを開始する前に、「ホスト[キャプチャするIPアドレス]」というキャプチャフィルタを入力します。たとえば、IPアドレス111.11.1.1に関連付けられたパケットをキャプチャするには、[キャプチャフィルタ]パネルにフィルタ「ホスト111.11.1.1」が必要です。

「host：」の代わりに、最初に送信元の「src」または宛先の「dst」を追加して、特定のIPアドレスとの間のトラフィックをキャプチャするかどうかを指定することもできます。

• 問題のIPアドレスからのパケットには「src111.11.1.1」と入力します
• 問題のIPアドレスに送信されるパケットには「dst111.11.1.1」と入力します

もちろん、これらのフィルターを組み合わせて、次にキャプチャするトラフィックを指定できます。2つのフィルターを「and」で接続して、指定した2つのIPアドレス間でパケットを移動します。たとえば、「src111.11.1.1およびdst222.22.2.2」は、111.11.1.1から222.22.2.2に送信されたパケットのみをキャプチャします。

表示フィルターを使用して、既にキャプチャーされたデータセット内の特定のIPアドレスに関連付けられたパケットをフィルター処理します。上記のIPアドレスには、表示フィルター行に「ip.addr==111.11.1.1」と入力します。

よくある質問

Wiresharkでルーターパケットをキャプチャする方法は？

ルーターがポートミラーリングをサポートしている場合にのみ、Wiresharkでルーターパケットをキャプチャできます。まず、トラフィックをLANポートにミラ​​ーリングする必要があります。プロセスはデバイスによって異なる場合があります。

1. [LAN]セクションに移動し、次にLANポートミラーに移動します。

2.ポートミラーリングを有効にします。

3.開始点と終了点を設定します。

この方法でトラフィックをミラーリングできる場合は、通常、Wiresharkキャプチャモードでルーターパケットをキャプチャできるはずです。

Wiresharkでパケットをキャプチャできないのはなぜですか？

Wiresharkがパケットをキャプチャしていない場合は、次のトラブルシューティングオプションを検討してください。

•過度に特定のキャプチャフィルターが有効になっていないことを確認してください。

•ヘルプメニューでWiresharkのアップデートを探します。

•ファイアウォールがWiresharkアプリケーションをブロックしていないことを確認してください。

上記の要因のいずれにも当てはまらない場合、問題はハードウェアに関連している可能性があります。

お奨めはすべてを引き継ぐ

Wiresharkでパケットをキャプチャするには、数回クリックするだけです。これはおそらく、トラブルシューティングタスクの最も簡単な部分です。すべてのトラフィックをキャプチャして後でパケットをフィルタリングするか、キャプチャフィルタを使用して特定のタイプのデータのみをキャプチャします。

これらのヒントを使用して、適切なパッケージをキャプチャできましたか？どのWiresharkキャプチャフィルターが最も役立つと思いますか？以下のコメントでお知らせください。