当社では、パケットキャプチャ製品「SYNESIS」を開発、販売しています。こちらの製品は、高速回線でもパケットをロスなく取得できるすぐれもので、日本だけでなく海外でもご好評いただいています。
いっぽう、パケットキャプチャツールといえば、多くのネットワーク技術者がまっさきに思い浮かべるものは、「Wireshark」ではないでしょうか。オープンソースのプロトコルアナライザーとして、その使い勝手のよさと豊富な機能で世界中のエンジニアに愛用されています。

今回は、Wiresharkの具体的なTIPSや使い方を紹介するのではなく、利用する際に覚えておくべきポイントを「べし・べからず集」としてまとめました。

Wiresharkとは

Wiresharkは、ネットワーク上を流れるパケットをキャプチャし、詳細なプロトコル解析を行うための強力なツールです。Windows、Linux、macOSなど、多くのオペレーティングシステムで動作し、無償で提供されているため、ネットワークエンジニアやセキュリティ専門家に広く活用されています。

Wiresharkは、ネットワークの解析やトラブルシューティングに広く利用されており、その活用シーンは多岐にわたります。代表的な利用シーンを紹介します。

• ネットワークトラブルシューティング
  アプリケーションの応答遅延や接続不良が発生した場合、パケットキャプチャによって問題の根本原因を特定することができます。
• セキュリティ監視とインシデント対応
  不審なトラフィックやデータ漏洩の兆候を早期に発見し、ネットワークのセキュリティ対策に役立ちます。
• 通信プロトコルの学習と分析
  TCP/IPやHTTP、DNSといった主要なプロトコルの動作を可視化し、実際の通信内容を確認しながら学習することが可能です。

これらの理由から、Wiresharkは多くのネットワーク関連業務において必須ツールとして認知されています。

Wiresharkべしべからず集

ツール類は徹底的に活用すべし

WiresharkのGUIは便利ですが、同梱されているコマンドラインツール（Tshark、mergecap、capinfos、editcapなど）も非常に強力です。特に大量のパケットキャプチャファイルを処理する際、GUIではフリーズしたり、動作が遅くなる場合がありますが、CLIならば効率的に処理が可能です。

以下は、私がよく利用するコマンドラインツールです。

• Tshark : Wiresharkのコマンドライン版
• mergecap : 複数のpcapファイルの統合
• capinfos : pcapファイルの統計情報の表示
• editcap : pcapファイルの編集

ほかにどのようなツールがあるかは、Wireshark Manual Pagesで確認できます。

Wiresharkのパスはとおしておくべし

Wiresharkをインストールした際に、コマンドラインツールを活用するためにパスを通しておくことを推奨します。パスを設定することで、どのディレクトリからでも"wireshark"や"tshark"といったコマンドを実行できるようになります。手動でパス設定を行う場合は、Windowsの環境変数設定画面からPathにWiresharkのインストールディレクトリを追加します。

解析するならファイルサイズに気をつけるべし

キャプチャファイルが大きすぎる場合、開くのに非常に長い時間がかかったり、ソフトウェアがフリーズしてしまうことがあります。特に大規模なネットワークや長時間のキャプチャ時には注意が必要です。そのため、私の場合は、キャプチャファイルはPCの物理メモリ容量の1/4以下に抑えるようにしています。また、editcapツールを使ってファイルを分割することもおすすめです。

不要な機能は無効にすべし

Wiresharkには多くの高度な機能が備わっていますが、それらすべてを有効にしていると解析時の負荷が増え、動作が遅くなることがあります。特に、名前解決やエラーパケットのハイライト表示などは便利ですが、必ずしも常時必要とは限りません。大規模なキャプチャファイルを扱う場合や、高速に解析を行いたい場合は、これらの機能を無効にしておくとスムーズに動作します。設定画面から不要な機能を無効にすることで、より効率的な解析が可能になります。

古い情報に頼るべからず

Wiresharkは定期的に更新され、新しい機能やプロトコルへの対応が追加されています。以前のバージョンではできなかったことが、アップデートしたことによりできるようになったことは頻繁にあります。公式サイトや技術コミュニティで提供されている最新情報をチェックし、情報もソフトウェアも常日頃からアップデートすることを心がけたいです。

Wiresharkのパスの設定手順

コマンドラインツールを利用するには、環境変数にWiresharkのインストールディレクトリを追加する必要があります。以下は、Windowsでの設定手順です。

1. Wiresharkのインストールディレクトリを確認します。（通常は "C:\Program Files\Wireshark" や "C:\Program Files (x86)\Wireshark" にインストールされます。）
2. コントロールパネルを開き、[システムとセキュリティ] > [システム] > [システムの詳細設定] > [環境変数]をクリックします。
3. 「ユーザー環境変数」もしくは「システム環境変数」で、Pathを選択し、編集をクリックします。
4. 新しいウィンドウで[新規]をクリックし、Wiresharkのインストールディレクトリのパスを追加します。
5. すべてのウィンドウで変更を保存します。

ユーザー環境変数を変更するか、システム環境変数を変更するかは、そのパソコンがどのように使われているかによりますので、迷われた際はシステム管理者に相談してください。今回は、ユーザー環境変数を変更する図となっています。

この設定を行うと、コマンドプロンプトからWiresharkを実行する際に単に"wireshark"と入力するだけですみます。例えば、コマンドプロンプトから"wireshark -v"と入力してバージョン情報が表示されれば、Wiresharkのパス設定は正しく行われています。

あとがき

今回の内容は、完全に私の主観での「べし・べからず集」です。使い方はみなさまそれぞれだと思いますので、ご参考までに。私もブログや雑誌などで他の方のWiresharkの使い方の記事を読みますが、みなさまそれぞれのごだわりがあり、読んでいてとても楽しいです。

「私はこうしています」や「こうやったらもっと便利です」などご意見がありましたら、ぜひSYNESIS エンジニアノート お問い合わせページよりご連絡をお願いします。