|
◆ Wireshark - フィルタの方法 (2種類のフィルタ)
Wiresharkには、2種類のフィルタがあります。それは「キャプチャフィルタ」と「ディスプレイフィルタ」。
キャプチャフィルタとは、パケットキャプチャを行う前に、特定のトラフィックだけをキャプチャできるよう
にするためのフィルタのことです。一方、ディスプレイフィルタは、パケットキャプチャ後にそのキャプチャ
データから指定した条件に合致した特定のトラフィックだけが表示されるように定義するフィルタのことです。
◆ Wireshark - キャプチャフィルタの方法
Wiresharkを起動すると、以下の画面が表示されますが「 ・・このフィルタを利用 」の赤枠の部分を
押すと、以下の画面が表示されます。例えば「 HTTP TCP port(80):tcp port http 」を選択します。
そうすると、以下のように表示されます。このキャプチャフィルタにより、HTTP TCP port(80)に
合致するパケットのみがキャプチャデータとして表示されていくことになります。
最初の画面で「キャプチャフィルタの管理」を選択すると次の画面が表示されます。以下のサンプル以外で
フィルタリングしたい場合、画面下の赤枠を押して新しくフィルタを定義することも可能です。
ネットワークエンジニアが障害解析のためにパケットキャプチャを行う場合は、上記のキャプチャフィルタは
定義せず全てのトラフィックを取得するようパケットキャプチャするのが一般的です。例えばTCPだけを使用
すると考えていたアプリが実はUDPを使用していたりするので、障害解析では全キャプチャをお勧め致します。
※ ただし、キャプチャーサイズを抑えるためには「Capture Filters」はとても有効な手段です。
◆ Wireshark - ディスプレイフィルタの方法
ディスプレイフィルタは以下の画面の赤枠の小窓に、条件構文を直接入力することによってディスプレイを
フィルタリングすることができます。
ディスプレイフィルタは以下の画面の赤枠の小窓に、条件構文を直接入力することによってディスプレイを
構文入力の小窓の左の青部分を押すと、以下の画面が表示されるので構文入力の参考にしましょう。
例えば、次のように「http」を指定すればHTTPトラフィックに関するパケット情報のみが表示されます。
その他、役立つ構文を紹介します。画面は最新バージョンではありませんが、構文自体は同じです。
IPアドレスが「192.168.1.253」を含むパケットを合致対象にしたい場合は以下のように入力します。
送信元IPアドレスが「192.168.1.253」のパケットを合致対象にしたい場合「ip.src」の構文を利用します。
あて先IPアドレスが「192.168.1.253」のパケットを合致対象にしたい場合「ip.dst」の構文を利用します。
TCPポート番号が「80」であるパケットを合致対象にしたい場合「tcp.port」の構文を利用します。
送信元のTCPポート番号が「80」であるパケットを合致対象にしたい場合「tcp.srcport 」構文を利用します。
あて先のTCPポート番号が「80」であるパケットを合致対象にしたい場合「tcp.dstport」構文を利用します。
以下は複数の条件指定です。複数の条件指定を行う場合は条件文の間に「and」を入力します。以下では
宛先IPアドレスが192.168.1.253、かつ宛先ポート番号が80であるパケットをキャプチャデータから抽出。
|