ネットワークトラフィックを検査するためにWiresharkを使用する方法

Wireshark は、フリーでオープンソースのパケットアナライザです。それは、ネットワークのトラブルシューティング、分析、ソフトウェア、および通信プロトコルの開発のために使用されます。ネットワーク上で何が起こっているかをミクロのレベルで見ることができ、多くの商業および非営利の企業、政府機関、教育機関におけるデファクト (そしてしばしばデジュール) 標準となっています。 Wiresharkは、Linux、Microsoft Windows、macOS、BSD、Solaris、その他のUnix系OSで動作するクロスプラットフォームのツールです。

How To Install Wireshark In Linux?
Wiresharkは何のために使われるのか?
Features At A Glance
How To Use Wireshark To inspect network packets In Linux?
パケットのキャプチャ
カラーコード
まとめ

How To Install Wireshark In Linux?

Wireshark をインストールするには、ターミナルに次のコマンドを入力してください – sudo apt-get install Wireshark Wireshark がインストールされ、使用できるようになります。この段階でWiresharkを非rootユーザで実行すると、
“No interface can be used for capturing in this system with the current configuration “というエラーメッセージに遭遇します。

sudo groupadd wireshark

ユーザ名をWiresharkグループに追加します –

sudo usermod -a -G wireshark USERNAME

ファイル dumpcap のグループオーナーを wireshark に変更します –

sudo chgrp wireshark /usr/bin/dumpcap

ファイルのモードを変更します。 dumpcapをwiresharkグループで実行できるようにする –

sudo chmod 750 /usr/bin/dumpcap

setcapで機能を付与する –

sudo setcap cap_net_raw,cap_net_admin=eip /usr/bin/dumpcap

変更を検証する –

sudo getcap /usr/bin/dumpcap

Wiresharkは何のために使われるのか?

Wiresharkは非常に広範なアプリケーションや用途を持っています。ここでは、人々がWiresharkをどのような目的で使用しているか、いくつかの例を示します。

ネットワーク管理者はネットワーク問題のトラブルシューティングに利用し、
ネットワークセキュリティ・エンジニアはセキュリティ問題を調べるために利用し、
開発者はプロトコル実装のデバッグに利用し、
その他の人はネットワークプロトコル内部を学ぶために利用する

Features At A Glance

Wiresharkの多くの機能には次のものが含まれます。

ネットワークインターフェイスからライブパケットデータをキャプチャします。
tcpdump/WinDump、Wireshark、および他の多くのパケットキャプチャプログラムでキャプチャされたパケットデータを含むファイルを開くことができます。
パケットデータの16進ダンプを含むテキストファイルからパケットをインポートします。
非常に詳細なプロトコル情報とともにパケットを表示します。
キャプチャしたパケットデータを保存します。
Filter packets on many criteria.
Search for packets on many criteria.
Colorize packet display based on filters.
Create various statistics.

How To Use Wireshark To inspect network packets In Linux?

パケットのキャプチャ

Wiresharkをダウンロードしてインストールした後、それを起動し、インタフェース一覧にあるインタフェース名をクリックすると、そのインタフェース上のパケットのキャプチャを開始することができます。例えば、無線LANのトラフィックをキャプチャしたい場合は、無線LANのインターフェースをクリックします。キャプチャオプションをクリックすると、高度な機能を設定することができます。

インターフェイスの名前をクリックするとすぐに、パケットがリアルタイムで表示され始めるのを確認できます。 Wiresharkは、システムに送信された、またはシステムから送信された各パケットをキャプチャします。無線インターフェースでキャプチャしており、キャプチャオプションでプロミスキャスモードを有効にしている場合、ネットワーク上の他のパケットも見ることができます。

カラーコード

緑、青、黒でハイライトされたパケットが見えると思いますが、これはパケットを色分けしたものです。 Wiresharkは、一目でトラフィックの種類を識別できるように、色を使用しています。デフォルトでは、緑はTCPトラフィック、紺はDNSトラフィック、水色はUDPトラフィック、黒は問題のあるTCPパケット（例えば、順番に配信されていない可能性がある）を識別します。

まとめ

先に述べたように、Wireshark はすべてのプラットフォームで利用できますが、他のどのプラットフォームも Linux ほどの機能パリティは持っていません。

Wireshark は非常に強力なツールであり、このチュートリアルはそれでできることの表面をなぞったにすぎません。専門家は、ネットワークプロトコル実装のデバッグ、セキュリティ問題の調査、ネットワークプロトコル内部の検査にこれを使用しています。 Wireshark で何ができるかについては、この公式文書をご覧ください。

LinuxAndUbuntu ホスティングは massiveGRID

によって支援されています。