Wireshark入門 (2014版)
•Transferir como PPTX, PDF•
86 gostaram•23,049 visualizações
2014年10月31日開催「ネットワーク パケットを読む会 (仮)」でのセッション「いま改めて Wireshark 入門」の発表スライドです。 Wireshark の利用方法について、インストールから初期設定、パケットキャプチャの開始とフィルタリングまで解説しています。
Recomendados
Mais conteúdo relacionado
Mais procurados
Mais procurados (20)
Semelhante a Wireshark入門 (2014版)
Semelhante a Wireshark入門 (2014版) (20)
Mais de 彰 村地
Mais de 彰 村地 (20)
Último
Último (10)
Wireshark入門 (2014版)
- 1. インストールと パケットキャプチャの実行 2014/10/31 改定版 hebikuzure
- 2. 実践パケット解析――Wiresharkを使った トラブルシューティング • http://www.oreilly.co.jp/books/9784873113517/ • ISBN978-4-87311-351-7 ネットワークパケットを読む会(仮) 2014/10/31 2
- 3. 公式サイトからダウンロードしてインス トールしましょう http://www.wireshark.org/ ネットワークパケットを読む会(仮) 2014/10/31 3
- 4. 最新バージョンを利用しましょう • セキュリティ修正が含まれます • 古いバージョンは攻撃対象になります Windows 環境では同梱のWinPcap を利用 しましょう ネットワークパケットを読む会(仮) 2014/10/31 4
- 5. WinPcap 4.1 以降のバージョンではNPF サービスが自動起動に設定されます • [管理者として実行] しなくてもパケットキャプ チャができます • 自動起動で問題がある場合は、以下のレジストリ キーで設定が変更できます HKLMSYSTEMCurrentControlSetservices NPFStart 0x1 : SERVICE_SYSTEM_START 0x2 : SERVICE_AUTO_START 0x3 : SERVICE_DEMAND_START ネットワークパケットを読む会(仮) 2014/10/31 5
- 6. How To Set Up a Capture http://wiki.wireshark.org/CaptureSetup Security http://wiki.wireshark.org/Security Platform-Specific information about capture privileges http://wiki.wireshark.org/CaptureSetup/Cap turePrivileges ネットワークパケットを読む会(仮) 2014/10/31 6
- 10. ディスプレイサイズに応じてフォントや ウィンドウの設定をしましょう • Layout ウィンドウのレイアウトを設定します • Columns フレーム一覧のカラムを設定します • Font and Colors フォントと色を設定します ネットワークパケットを読む会(仮) 2014/10/31 10
- 12. 既定でキャプチャするネットワークイン ターフェイスを設定しましょう プロミスキャスモードを有効にするか設 定しましょう スクロールの設定をしましょう (非力なマシンでキャプチャする場合は “Update list of packets in real time” と Automatic scrolling in live capture” を オフにしましょう) ネットワークパケットを読む会(仮) 2014/10/31 12
- 14. ディスプレイフィルターを登録/編集でき ます 登録したフィルターは[Filter:] ツールバー に表示されます ネットワークパケットを読む会(仮) 2014/10/31 14
- 16. MAC(ネットワークアダプタ)、コン ピュータ(サーバー)名、サービス名の名 前解決をして表示するか、設定しましょう。 • ネットワーク名はDNS を参照するので負荷が大 きくなります • サービス名はポートで判断するので、クライアン ト側のサービス名は当てになりません ネットワークパケットを読む会(仮) 2014/10/31 16
- 18. 印刷の設定をします Plain Text だけでなく、Postscript でも出 力できます 物理プリンタに出力する以外に、ファイル に出力できます ネットワークパケットを読む会(仮) 2014/10/31 18
- 19. Wireshark でサポートされているプロトコ ルのそれぞれについての固有の設定を行い ます ネットワークパケットを読む会(仮) 2014/10/31 19
- 21. “Reassemble HTTP bodies spanning multiple TCP segments” には要注意 有効にしていると、HTTP のBody を受信 完了したフレームにヘッダー情報も表示さ れます 実際のサーバー応答が行われたフレームを 確認したい場合は、無効にした方が分かり やすいです ネットワークパケットを読む会(仮) 2014/10/31 21
- 23. "Validate the TCP Checksum if possible" を有効にすると"Checksum Error" が大量 に発生する場合があります TCP Checksum Offload が有効になってい ると、Wireshark では正しいChecksum を 取得できないための現象です ネットワークパケットを読む会(仮) 2014/10/31 23
- 25. システムにインストールされているネット ワークインターフェイスの一覧から、 キャプチャを実行するインターフェイスを 選択します [Options] で"Capture Options" が呼び出せ ます ネットワークパケットを読む会(仮) 2014/10/31 25
- 27. 開始するキャプチャセッションだけに有 効な設定を行います キャプチャフィルタが設定できます • できればフィルタなしでの採取がお勧め キャプチャを直接ファイルに保存する設定 ができます キャプチャの自動停止の設定ができます ネットワークパケットを読む会(仮) 2014/10/31 27
- 28. スタートスクリーンの をクリック ツールバーのをクリック Interface List やCapture Options の ボタンをクリック ネットワークパケットを読む会(仮) 2014/10/31 28
- 30. パケット一覧 詳細情報 バイナリ ネットワークパケットを読む会(仮) 2014/10/31 30
- 31. +/- をクリックして展開/折り畳み ネットワークパケットを読む会(仮) 2014/10/31 31
- 32. 非力なマシン上で高負荷のトラフィックを キャプチャすると、取りこぼしが起きる場 合もあります 回避策 コマンドライン版を使う(tshark) dumpcap やtcpdump、WinDump 使う ネットワークパケットを読む会(仮) 2014/10/31 32
- 33. [Edit] -> [Find Packet] ネットワークパケットを読む会(仮) 2014/10/31 33
- 34. 右クリック-> [Mark Packet] Ctrl + M ネットワークパケットを読む会(仮) 2014/10/31 34
- 36. [Time Display Format] で[Second Since Beginning of Capture] を選択 • この状態でキャプチャ開始からの相対時間を表示 基準にしたいパケットをクリックして [Edit] -> [Set Time Reference] (Ctrl + T) • 基準にしたパケットからの経過時間を表示 ネットワークパケットを読む会(仮) 2014/10/31 36
- 37. [Seconds Since Previous Captured Packet] • 直前にキャプチャしたパケットからの経過時間 [Seconds Since Previous displayed Packet] • 表示されている直前のパケットからの経過時間 ネットワークパケットを読む会(仮) 2014/10/31 37
- 38. キャプチャフィルタ • 特定の条件に合致したパケットだけキャプチャす るためのフィルタ • 条件に合致しないパケットは記録されない ディスプレイフィルタ • 特定の条件に合致したパケットだけ表示するため のフィルタ • 条件に合致しないパケットは表示されない • 元のキャプチャデータは変更されない ネットワークパケットを読む会(仮) 2014/10/31 38
- 41. [not] primitive [and|or [not] primitive ...] 論理演算子はnot、and、or 例 • tcp port 23 and host 10.0.0.5 • tcp port 23 and not src host 10.0.0.5 詳細はヘルプ参照のこと ネットワークパケットを読む会(仮) 2014/10/31 41
- 43. フィルターツールバーの"Expression" を クリック ネットワークパケットを読む会(仮) 2014/10/31 43
- 44. == (eq) : 等しい != (ne) : 等しくない > (gt) : 大なり < (lt) : 小なり >= (ge) : 以上 <= (le) : 以下 ネットワークパケットを読む会(仮) 2014/10/31 44
- 45. and (&&) : 論理積 or (||) : 論理和 xor (^^) : 排他的論理和 not (!) : 否定 ネットワークパケットを読む会(仮) 2014/10/31 45
- 46. host example.com host example.com and not (port 80) !dns not broadcast and not multicast ip.dst==192.168.0.1 ネットワークパケットを読む会(仮) 2014/10/31 46
- 47. ip.addr == 1.2.3.4 でIP アドレスに 1.2.3.4 を含むパケットを表示できる では、IP アドレスに1.2.3.4 を含まない パケットを表示するフィルタは?? 間違い: ip.addr != 1.2.3.4 正解: !(ip.addr == 1.2.3.4) ネットワークパケットを読む会(仮) 2014/10/31 47
- 48. フィルターツールバーの"Save" を クリック ネットワークパケットを読む会(仮) 2014/10/31 48
- 49. [Analyze] – [Display Filter] ネットワークパケットを読む会(仮) 2014/10/31 49
- 50. ヘルプを参照 Wireshark Wiki Display Filter page http://wiki.wireshark.org/DisplayFilters. ネットワークパケットを読む会(仮) 2014/10/31 50
- 51. 通常はWireshark が自動的に各フレーム (パケット)のプロトコルを解析して表示 してくれる リンク層、ネットワーク層、トランスポー ト層それぞれのプロトコルが解析される ネットワークパケットを読む会(仮) 2014/10/31 51
- 52. 正しく解析されない場合も多い 特にトランスポート層で既定のポート以外 を使い通信を行っている場合 ex. • 81番ポートでHTTP • 443番ポート以外でのHTTPS ネットワークパケットを読む会(仮) 2014/10/31 52
- 53. プロトコルのデフォルトのポートを使用し ていないトラフィックは正しいプロトコル が推測されない場合が多い キャプチャ内容などからプロトコルが分か る場合は、手動でプロトコルを指定して表 示させることができる ネットワークパケットを読む会(仮) 2014/10/31 53
- 54. 指定するパケットを右クリック [Decode as…] を選択 プロトコルを指定 ネットワークパケットを読む会(仮) 2014/10/31 54
- 55. 1つのTCP セッション中で送受信された データをまとめて表示する フレームを右クリック– [Follow TCP Stream] ネットワークパケットを読む会(仮) 2014/10/31 55
- 57. “Follow TCP Stream” を行うと、そのスト リームだけ表示するフィルタが適用される ネットワークパケットを読む会(仮) 2014/10/31 57
- 59. Wireshark User‘s Guide http://www.wireshark.org/docs/ wsug_html_chunked/ Wireshark Wiki http://wiki.wireshark.org/FrontPage Wireshark University http://www.wiresharktraining.com/ ネットワークパケットを読む会(仮) 2014/10/31 59