Wiresharkべしべからず集
Wireshark TIPS
当社は、パケットキャプチャ製品「SYNESIS」を開発、販売しています。こちらの製品は、高速回線でもパケットをロスなく取得できるすぐれもので、日本だけでなく海外でもご好評いただいています。
いっぽうパケットキャプチャといえば、まずは「Wireshark」を思い浮かべる方が多いのではないでしょうか。新人からベテランまで多くの方がWiresharkを使って、パケットキャプチャや解析を行っていることと思います。
Wiresharkの使い方やTIPSなどに関しては、検索をすればはたくさん出てきます。今回はWiresharkの使い方やTIPSではなく、Wiresharkを使用する際に前提として覚えておいたほうがよい(かもしれない)ことを「べし、べからず集」でまとめてみました。
Wiresharkとは
Wiresharkは、WindowsやLinuxをはじめとする多様なオペレーティングシステムで動作するオープンソースのネットワークプロトコルアナライザーです。このツールはGPL(General Public License)に基づき公開されており、誰でも無料でしかも登録なしでダウンロードして利用できます。
Wiresharkの利用シーンとしていくつか例をあげます。一番多い使い方としては、ネットワークのトラブルシューティングです。たとえばネットワーク接続が不安定な場合やアプリケーションの通信速度が遅い場合に、Wiresharkでパケットキャプチャし分析をすることで、影響を受けているデバイスやプロトコルを特定し、迅速かつ効果的に問題を解決することが可能です。
さらに、Wiresharkは通信プロトコルの教育ツールとしても価値があります。HTTPやFTPなどの一般的なプロトコルのパケットを視覚化し、どのように機能しているかを実際のパケットの流れを通じて理解することができます。
セキュリティの観点からも、Wiresharkは重要なツールです。不審なトラフィックや予期しないデータ交換を監視し、不正アクセスやデータ漏洩の兆候を早期に発見するために利用されます。
これらの理由から、Wiresharkはネットワーク技術者やセキュリティ専門家にとって不可欠なツールとなっており、世界中で利用されています。
Wiresharkべしべからず集
べしべからずの解説
ツール類は徹底的に活用すべし
Wiresharkは標準でインストールをすると、コマンドラインツールが一緒にインストールされます。私がよく使うツールは、Tshark、mergecap、capinfos、editcapです。オプションがそれぞれのツールでまちまちなのがたまにキズですが、慣れればGUIより早く安定した操作が可能になります。とくにファイルサイズが大きい場合は効果が高いです。GUIですとフリーズしてしまう場合がよくありますが、CLIですとその現象が避けられる場合があります。
Wiresharkのパスはとおしておくべし
インストール時、分岐を「はい」と選択していった場合、Wiresharkにはパスが通ってないようです。(これは私のインストールの仕方が悪いだけかもしれませんが…。)コマンドラインでツール類を使用するのであれば、Wiresharkへのパスは通しておいたほうがなにかと便利です。
解析するならファイルサイズに気をつけるべし
大きなサイズのファイルを開こうとすると非常に時間がかかり、最悪ソフトが落ちる経験をされた方は私だけではないと思います。解析する際のファイルサイズは、(PCのスペックにもよりますが)物理メモリの1/4以下くらいまでにしています。
不要な機能は無効にすべし
名前解決、エラーパケットのハイライト、上位プロトコルまでの細かい解析などWiresharkは本当にすぐれた機能がたくさんあります。反面、それらの機能の中にはリソースを多く要するものがあります。機能が不要であるにもかかわらず、その機能を有効にしていた場合、ファイルを開く際や解析機能を用いる際に余計な時間がかかってしまいます。不要な機能は無効化しておくと、動作が早くなり、ストレスも多少軽減される(かもしれません)。
古い情報に頼るべからず
見た目は変わってなくても、細かいところでアップデートされています。昔はできなかったことが、アップデートしたことによりできるようになっていた、みたいなことは結構よくあります。情報もソフトウェアも常日頃よりアップデートすることを心がけたいです。
Wiresharkのパスのとおし方
WindowsでのWiresharkのパスの通し方の手順は以下のとおりです。コマンドプロンプトでもパスの設定は可能ですが、わかりやすいGUIで行う方法を記載しています。
- Wiresharkのインストールディレクトリを見つけます。(通常は "C:\Program Files\Wireshark" や "C:\Program Files (x86)\Wireshark" にインストールされます。)
- コントロールパネルを開き、[システムとセキュリティ] > [システム] > [システムの詳細設定] > [環境変数]をクリックします。
- 「ユーザー環境変数」もしくは「システム環境変数」で、Pathを選択し、編集をクリックします。
- 新しいウィンドウで[新規]をクリックし、Wiresharkのインストールディレクトリのパスを追加します。
- すべてのウィンドウで変更を保存します。
ユーザー環境変数を変更するか、システム環境変数を変更するかは、そのパソコンがどのように使われているかによりますので、迷ったらシステム管理者に相談してください。今回は、ユーザー環境変数を変更する図となっています。
この設定を行うと、コマンドプロンプトからWiresharkを実行する際に単に"wireshark"と入力するだけですみます。例えば、コマンドプロンプトから"wireshark -v"と入力してバージョン情報が表示されれば、Wiresharkのパス設定は正しく行われています。
あとがき
今回の内容は、完全に私の主観での「べし、べからず」です。使い方は人それぞれ、環境によりまちまちですので、ご参考までに。
私もブログなどで他の方のWiresharkの使い方の記事を読みますが、みなさまそれぞれのごだわりがあり、読んでいてとても楽しいです。
「私はこうしています」や「こうやったらもっと便利です」などご意見がありましたら、ぜひSYNESIS エンジニアノート お問い合わせページよりご連絡をください。
