この記事は第3回 FA設備技術勉強会オンラインで発表した資料となります。
はじめに
ネットワークの監視やパケットのキャプチャをする際に使用するWiresharkの操作方法を纏めた。事前知識として基本的なWindowsかLinuxの操作ができ、Wiresharkのインストールが既に実施済みであることを想定している。
Wiresharkとは
多くのプロトコルに対応した高機能なパケット取得・プロトコル解析ソフト。ネットワークに流れるパケット情報をリアルタイムで調査できる。(窓の杜さんより)
もっと知りたい人、使い方詳しく知りたい人はこの辺見たらいいと思います↓
Wiresharkの使い方 - ネットワーク入門サイト (beginners-network.com)
IPアドレスとか
Wiresharkを実行するIPアドレス、サブネットマスクを設定してください
IPアドレスはコントロールパネルにあるネットワークと共有センター→左端にあるアダプターの設定の変更などから実施するか、コマンドプロンプトで「netsh interface ipv4 set address name=%インターフェース名% static %IPアドレス% %サブネットマスク%」と打ち込んでもいけます。
インターフェース名?という方向けに解説をするとここに出てくる名称です。↓
設定すべきIPアドレスについて
設定するべきIPアドレスは監視対象の機器がいるネットワークのアドレスでかつ他の機器と競合しないアドレスを設定してください。
アドレスの設定後
アドレスの設定後、pingが通るか確認してください。通らない場合はファイヤーウォールの設定やアドレスの設定、本当に機器のIPアドレスが合っているかの確認を実施してください。
Pingを打ってみる
機器が192.168.100.125の場合、「ping 192.168.100.125」とコマンドプロンプトに打ち込んでEnter。3回、実行されます。実行途中でチェックをやめたい場合はCtrl+Cでとまります。Windowsの場合、「ping 192.168.100.125 -t」にすれば停止指示をしない限り永遠に送信し続けます。
機器のIPが合っているかの確認法
知っていそうな人に聞く。悩んだらAngry IP Scannerなどで総当たりするのも手ではある。
Angry IP Scanner - the original IP scanner for Windows, Mac and Linux
ミラーリングポート?
ハブによっては特定の2ポート間を流れるパケットを垂れ流す機能(ミラーポートという)が付いている物があるのでそうゆう機器があると便利。産業用のハブはもともとついている物が多く、某メンスのハブや某スコのネットワーク機器だとだいたいついてる。
実際パケットを取ろうとしたときには必須の機材ですね。
個人で買えるのか?って点でいうと例えば、、、NETGEAR社のハブとか。
ポートミラーリングの設定/NETGEARスマートスイッチ - ネットワーク入門サイト (beginners-network.com)
Wiresharkの起動
任意のフォルダにインストールしたWiresharkを立ち上げてください。起動後はこんな画面が出ると思います(結構UI変わるのでフィーリングで頑張りましょう)
ネットワークの通信状態にもよりますがこんな感じの画面になれば起動成功です
長時間監視の際の注意点
長時間ネットワークを監視する場合、通常の設定だとWiresharkの表示機能のカウンタの一部がオーバーフローしてしまうようで、落ちます。そこで、以下の設定を実施してください。
CaptureOptionsをクリック
以下のようにあちこちチェックをはずしたりつけたり、ファイル名の設定をしてください。Next file everyの項目2つについてはPCのスペックやネットワークの通信量に応じてON-OFFと数値を変更してください。緑枠については必要に応じて設定してください。Capture Filterは設定した条件に合うパケットだけが保存される機能です。特定のパケットのみ欲しい場合はつけていても良いですが、想定外のパケットで問題が出ている場合などの為にはずしておくほうが無難かと思います。Ring bufferは過去何ファイル分を保存するかを設定できます。
もっと長期間かける、コマンドプロンプトから動かしたい場合
通常のWiresharkで取得を実施すると確実に強制終了が途中で発生してしまいます。そこで、コマンドプロンプトからパケット取得が可能なtsharkというソフトを使用します。
tsharkの保存場所について
Wiresharkのインストール先のフォルダにtshark.exeがあります。デフォルトの設定のままの場合は「C:\Program Files\Wireshark」にインストールされています。
tshark起動方法
1. インストールフォルダへ移動
コマンドプロンプトでtsharkがインストールされているフォルダまで移動してください。
Windowsの場合、インストール先フォルダをエクスプローラで開いてShiftキーを押しながら右クリック。「コマンドウィンドウをここで開く」を実行するとcdなどの操作を行わずに目的のフォルダでコマンドプロンプトが開けます。
2. コマンド
下記コマンドをたたいてください
tshark.exe -i 1 -b filesize:400 -w filename.pcapng
tsharkのインストール先フォルダにpcapngファイルが保存されていきます。
tsharkコマンド説明
-h:ヘルプを表示する。このドキュメントに記載していないオプションを使用したい場合は実行してください
-i 1:ネットワークの選択:会社支給のLet’s noteならこれが有線LANの選択を意味している。
-b filesize:数値:数値で指定された要領ごとにファイルを分割する。単位はKB。またduration:数値を記載すれば一定時間(単位は秒)ごとにファイルを分割する。
-w ファイル名:pcap-formatでファイル名に従って保存する。これをつけないとコマンドプロンプトの画面に文字列が列挙されるだけでファイル保存できない。
3. tsharkの停止方法
Ctrl+Cでキャプチャ終了。コマンドオプションで停止条件を設定することも可能。
つづき