◆ Wireshark - キャプチャ画面の見方
Wiresharkのキャプチャ画面は大きく5つで構成されます。上から紫、赤、青、黄、黒の枠線で分けています。
※ 下記のキャプチャ画面で青く塗りつぶしている情報は、MACアドレスなどこちらのPCの情報となります。
色枠 |
項目名 |
項目の説明 |
紫 |
メニュー |
wiresharkでのパケットキャプチャをカスタマイズするメニュー。 |
赤 |
ディスプレイフィルタ |
パケットキャプチャしたデータを条件構文により抽出するフィルタ。 |
青 |
パケットリスト |
パケットキャプチャで受信していく順番で表示されていくトラフィックの画面。 |
黄 |
パケット詳細 |
トラフィック解析における要となる画面。全ての情報が集約されている。 |
黒 |
パケットの生データ |
各パケットの詳細を16進数で表記した、いわば、パケットの生データの画面。 |
パケットキャプチャで解析を行う場合、パケットの生データとなる黒枠の情報は一般的に特に気にしません。
当方がパケット解析を行う場合は、この画面を非表示させるべく「表示」→「パケットバイト列」を選択して
非表示とさせています。ただし、データが暗号化されているかどうかの確認を行うためには使用しています。
青枠のパケットリスト画面では上側の「Source、Destination、Protocol」をクリックしソートすることで
解析しやすく見やすい画面となってきます。しかし、特定の条件に絞り込みたい場合は赤枠のディスプレイ
フィルタを使用しています。そして障害解析の上で最も役立つのが黄枠のパケット詳細画面です。ここでは
各レイヤの情報がぎっしりと詰まっています。確認したいパケットがあれば、以下の画面のように各項目を
ダブルクリックしていき詳細を見ていきます。以下は Network Study 1 を読んでいれば分かるような内容。
パケットキャプチャしたデータを正しく解析するためには、幅広いTCP/IPの基礎知識が必要となります。
|