目次

Wireshark Tips

ネットワークの世界でパケットキャプチャやモニタリングを行う、となると、業界標準とも言えるツールが「Wireshark」
この世界に長くいる人には「Ethereal」という名前の方がしっくり来る人も。

フィルタ

画面上部のfilterボックスに条件を入力する。

特定のIPアドレスとの通信を見たい

「ip.addr == <IPアドレス>」と指定する。
パケットの送信元で指定する場合はip.src、送信先で指定する場合はip.dstで指定する

Wake-On-LANパケットを見たい

「wol」と入れる。これだけ。
ただし、一部のソリューションでは純粋なWake On LANの仕様に則っていないパケットの送出を行っているものがあるので、その場合はip.addr == 255.255.255.255等、別の方法でフィルタする必要がある。

DHCPパケットを見たい

「bootp」と入れる。これだけ。

kerberosのパケットを見たい

「kerberos」と入れる。これだけ。
エラーを見たいなら「kerberos.error_code」と入れ、さらにエラーコードを絞り込む場合は「kerberos.error_code == N」のようにする。

特定のポートの通信を見たい

ポートを指定する場合は、「tcp.port == <ポート番号>」や「udp.port == <ポート番号>」と指定する。

Capture Filter

キャプチャフィルタ。
普通のフィルタは取得済みのパケットデータから表示を絞り込む為に使うが、こちらはそもそも取得するパケット自体を絞り込む機能。
特定マシンとの通信のみをキャプチャしたい場合等に使う

フィルタの設定

メニューバーの「Capture」から「Capture Filter」を選択すると、設定済みのキャプチャフィルタの一覧が表示される。
NEWボタンで新しく作成したり、既存のフィルタを選択して修正することが可能。

フィルタを使ってキャプチャ

メインの画面で「Capture Options」を開き、「Capture Filter」ボタンをクリックして適用するフィルタを選択後、「Start」ボタンでキャプチャを開始すると、フィルタ済みのデータがキャプチャされる。