|
◆ Wiresharkのオプション設定 - プロミスキャストの設定
Wiresharkはデフォルトで、全てのインターフェースでプロミスキャスモードが有効化されており、
PCが受信できる全てのトラフィックをプロミスキャス(無差別)にキャプチャすることができます。
一方、このチェックを外せば、PCが送受信処理しているトラフィックのみをキャプチャできます。
一般的に、トラフィック解析といえばそのPCが送受信処理するパケットだけを解析するのではなく、
受信できる全てのトラフィックを解析対象とするため、プロミスキャスにはチェックしておくことが
推奨となります。
しかし、そのPCが送受信するトラフィックのみをパケットキャプチャしたい場合には、該当する
インターフェースでそのチェックを外します。
◆ Wiresharkのオプション設定 - 名前解決の設定
Wiresharkによるキャプチャデータは、デフォルトではMACアドレスのみ名前解決されて表示されます。
以下の「ネットワーク名を解決」をチェックすれば、名前解決可能なIPアドレスについても、名前解決
された上でキャプチャデータに表示されます。
ただし、WiresharkでキャプチャするPCの処理能力が低い場合には負荷となる設定でもあるので、
PCの処理能力を考慮してチェックするかどうか決めましょう。なお、一般的にはチェックしません。
◆ Wiresharkのオプション設定 - リアルタイムに最新のパケットを表示する方法
Wiresharkのデフォルト設定では、キャプチャした最新パケットをリアルタイムに表示し続ける設定と
なっていません。自動的にスクロールさせて、最新のキャプチャパケットをリアルタイムに表示させる
ためには「編集」→「設定」から「パケット詳細を自動的にスクロール」をチェックします。
◆ Wiresharkの最適化 - 右クリックによるディスプレイフィルタ
ディスプレイフィルタはWiresharkの定義する条件構文により合致したものが抽出されて表示されますが、
この構文をFilterの小窓に入力することなく、一部構文については、右クリックだけでフィルタできます。
以下では「242」番目のフレームを選択しています。242番目のフレームはRSTパケットを投げています。
このTCPの「RSTパケットを送信しているパケットだけ」を抽出したい場合はどうすればいいでしょうか。
条件構文の「tcp.flags.reset == 1」を知っていれば、ディスプレイフィルタでもすぐに抽出できますが、
この条件構文を知らなくても「右クリックだけで」この構文を呼び出すこともできます。
RSTはTCPのフラグであることから、ここではキャプチャ画面の「 Transmission Control Protocol 」を
クリックして階層化画面を表示させます。次に「Flags」項目もクリックして「Reset:Set」を探します。
次に「Reset:Set」の行を右クリックし、下図の通り「フィルタとして適用」→「選択済」を押します。
そうすると、画面上の小窓には自動的に「 tcp.flags.reset == 1 」が入力されて抽出作業が始まり結果が
表示されます。今回のキャプチャデータではTCPのRSTパケットを送信しているパケットが3つあることが
分かります。今回のキャプチャデータは少量であり、今回はRSTパケットが240、241、242と集まっていた
ことから、今回の抽出方法にはありがたみを感じないかもしれませんが、どのような項目でも右クリックで
「フィルタとして適用 → 選択済」とすれば条件構文が生成されるのでとても便利です。試してみましょう!
条件構文により抽出した結果をもとのキャプチャデータの結果に戻したい場合、右側の「×」を押します。
|