はじめに
問題解決の武器としてパケットダンプが有効な場合はいくつもあります。
大抵の場合はtcpdump、tsharkコマンドで調査は事足りるのですが
GUIを使った調査も分かりやすくて魅力的です。今回はWiresharkを使った解析で
私が便利だと思っている設定を2つご紹介します。
使用ソフトウェア
- Windows10
- Windows版 Wireshark 3.2.0
1. Wireshark に解析させなくてよいのでは?
Wireshark は便利で使いやすいと思います。ただパケットを解析しようとしたとき
デフォルト設定の効果からSeq/Ack番号が丸められたことによって
かえって初心者が混乱する様をちょくちょく見ます。
とりわけTCPに関しては、まるっと無効化してしまいましょう。
気が向いたら、Name Resolution 項目も無効化してしまいましょう。
おススメ設定
- メニューから、設定 - Appearance - Protocols - TCP をクリック
- チェックボックスを全て解除して、Ok をクリック
2. うわっ、私のカラム少なすぎ…?
Wiresharkはパケット一覧から任意の行をcsvなどにも出力出来るので
Excel大好きマンへの報告にとても便利なのですが、
デフォルトではカラムに物足りなさがあるので必要に応じて追加しましょう。
項目追加方法
- メニューから、設定 - Appearance - Columns をクリック
- +をクリック
- "New Column" 行が生成される
- New Column 行の種別フィールドをダブルクリックするとポート番号などの項目が選択できる
- ない場合は、種別をCustomに指定して、Fieldsに表示させたい項目を直接書く(tcp.seq などなど)
項目追加方法その2(パケットダンプを持っている人向け)
- 表示させたい項目を含んでいるパケットダンプを開く
- 表示させたい項目があるフレームに移動
- 画面中央のパケット詳細画面で、表示させたい項目を選択
- 右クリックから、列として適用を実行
おススメの追加項目
- Source Port
- Destination Port
- Sequence Number
- Acknowlegment Number
おまけ
- 古いバージョンのWiresharkと性能の残念なPCを使っている場合、起動やファイルを開くだけで
そこそこ待たされることがありました。そのようなとき私はプラグインディレクトリから
ファイルを移動させて少しでも速度を稼ぐことをやっていました。
今どきの環境ならギガオーダーでも楽勝だと思うので今回は割愛です。