![[kaneko lab.]](https://www.kkaneko.jp/info/logo_png.png){kind=logo}
Wireshark を使用して libpcap 形式ファイルを解析する
Wireshark と libpcap 形式ファイルとは
Wireshark は,ネットワークを流れるパケット(通信データを一定の大きさに区切ったもの)を取り込んで解析するためのツールである.無償で利用でき,Windows,macOS,Linux で動作する.
libpcap 形式ファイルとは,取り込んだパケットを保存するためのファイル形式である(拡張子は .pcap,新しい形式は .pcapng).Wireshark の公式サイトで公開されているサンプルファイルもこの形式で提供されており,本ページではそれをダウンロードして解析する手順を説明する.
サンプルファイルを解析するメリット
Wireshark の公式 Wiki では,HTTP,DNS,TCP,TLS など様々なプロトコル(通信の約束ごと)のサンプルキャプチャファイルが公開されている.これらを解析することで,以下の学習が可能である.
- 各プロトコルのパケット構造とヘッダ情報(送信元や宛先などの管理情報)の確認
- クライアントとサーバ間の通信シーケンス(やり取りの順番)の把握
- Wireshark のフィルタ機能や統計機能の習得
Wireshark の入手とインストール
Wireshark は,公式サイトのダウンロードページから入手する.自分の使っている OS に合ったインストーラを選び,画面の指示に従ってインストールする.
- 公式ダウンロードページ:https://www.wireshark.org/download.html
サンプルファイルを解析する手順
- Wireshark Sample Captures のページにアクセスする
https://wiki.wireshark.org/SampleCaptures - 解析したいキャプチャファイルをダウンロードする
- Wireshark を起動する
- メニューバーから「File」→「Open」を選択する
- 解析するファイルを選択し,「開く」をクリックする
- パケット一覧が表示されたら,行を選択して中身を確認する
フィルタ機能による絞り込み
読み込んだパケットは数が多いため,画面上部の表示フィルタ(ディスプレイフィルタ)に条件を入力して,見たいパケットだけを絞り込むとよい.条件を入力して Enter キーを押すと適用される.代表的な入力例を以下に示す.
- http … HTTP のパケットだけを表示する
- dns … DNS のパケットだけを表示する
- tcp.port == 443 … ポート番号 443(TLS でよく使われる)のパケットだけを表示する
注意事項
Sample Captures には,マルウェアの通信を記録したファイルが含まれている.これらは学習目的で提供されているものであり,記録されている通信先への接続やファイルの実行は行わないこと.