LabEx
ログイン無料登録

Wireshark CLI でサイバーセキュリティ関連のネットワークトラフィックを分析する方法

CybersecurityCybersecurityBeginner
今すぐ練習

💡 このチュートリアルは英語版からAIによって翻訳されています。原文を確認するには、 ここをクリックしてください

はじめに

サイバーセキュリティの絶えず進化する状況において、ネットワークトラフィックを理解し分析することは、堅牢なセキュリティ対策を維持するために重要です。このチュートリアルでは、Wireshark のコマンドラインインターフェイス (CLI) を活用して、サイバーセキュリティに関連するネットワークトラフィックをキャプチャし分析するプロセスを案内します。これにより、ネットワークのセキュリティ態勢を強化するために必要なスキルを身につけることができます。

Wireshark とコマンドラインインターフェイス (CLI) の紹介

Wireshark は、ネットワークトラフィックのキャプチャ、検査、分析を可能にする強力なネットワークプロトコルアナライザーです。サイバーセキュリティの分野では、ネットワーク関連の問題を理解しトラブルシューティングするために広く使用されているツールです。Wireshark は主な機能をグラフィカルユーザーインターフェイス (GUI) で提供していますが、tshark と呼ばれるコマンドラインインターフェイス (CLI) も提供しており、ターミナルからネットワークトラフィック分析を行うことができます。

Wireshark CLI (tshark) とは?

tshark は Wireshark のコマンドラインバージョンで、GUI バージョンと同じネットワーク分析機能をテキストベースのインターフェイスで提供します。tshark を使用すると、ターミナルから直接ネットワークトラフィックのキャプチャ、フィルタリング、分析を行うことができるため、サイバーセキュリティ専門家やネットワーク管理者にとって貴重なツールとなります。

Wireshark CLI (tshark) を使用する利点

  1. スクリプト化と自動化tshark の CLI インターフェイスは、スクリプトや自動化ワークフローに組み込みやすく、ネットワークトラフィック分析タスクを自動化することができます。
  2. リモートアクセスtshark を使用してリモートシステム上のネットワークトラフィックをキャプチャし分析することができるため、インシデント対応やネットワークトラブルシューティングに役立ちます。
  3. リソース効率が良いtshark は一般的に、完全な Wireshark GUI よりも軽量でリソース効率が良いため、リソースが限られたシステムでの使用に適しています。
  4. ターゲット分析tshark の CLI インターフェイスを使用すると、ネットワークトラフィックの特定の側面に焦点を当てることができ、ターゲット分析を行い関連情報を抽出しやすくなります。

Ubuntu 22.04 への Wireshark CLI (tshark) のインストール

Ubuntu 22.04 システムに tshark をインストールするには、以下の手順に従ってください。

  1. パッケージインデックスを更新します。
sudo apt-get update
  1. tshark パッケージをインストールします。
sudo apt update
sudo apt-get install tshark
  1. tshark のバージョンを確認してインストールを検証します。
tshark --version

バージョン情報が表示されれば、インストールが成功しています。

Wireshark CLI でネットワークトラフィックをキャプチャする

tshark でネットワークトラフィックをキャプチャする

tshark を使用してネットワークトラフィックをキャプチャするには、以下のコマンドを使用できます。

tshark -i <interface> -w <output_file.pcap>

ここで、<interface> はトラフィックをキャプチャするネットワークインターフェイスで、<output_file.pcap> はキャプチャしたトラフィックが pcap 形式で保存される出力ファイルの名前です。

たとえば、eth0 インターフェイスのトラフィックをキャプチャし、network_traffic.pcap という名前のファイルに保存するには、以下のコマンドを使用します。

tshark -i eth0 -w network_traffic.pcap

キャプチャしたトラフィックをフィルタリングする

tshark は、特定のトラフィックに焦点を当てるための強力なフィルタリングオプションを提供しています。表示フィルターを使用して、プロトコル、ソースまたは宛先の IP アドレス、ポート番号など、さまざまな基準に基づいてキャプチャしたトラフィックをフィルタリングできます。

以下は、トラフィックをキャプチャし、HTTP リクエストにフィルタリングする方法の例です。

tshark -i eth0 -w http_traffic.pcap -Y "http"

-Y オプションは表示フィルターを指定するために使用され、この場合は HTTP プロトコルにフィルタリングします。

特定の期間のトラフィックをキャプチャする

-a オプションを使用して、特定の期間のトラフィックをキャプチャすることもできます。たとえば、60 秒間のトラフィックをキャプチャするには、以下のコマンドを使用します。

tshark -i eth0 -w network_traffic.pcap -a duration:60

複数のインターフェイスからトラフィックをキャプチャする

複数のネットワークインターフェイスからトラフィックをキャプチャする必要がある場合は、-i オプションを複数回使用できます。

tshark -i eth0 -i eth1 -w network_traffic.pcap

これにより、eth0eth1 の両方のインターフェイスからトラフィックがキャプチャされ、network_traffic.pcap ファイルに保存されます。

プロミスキャスモードでトラフィックをキャプチャする

キャプチャデバイスに直接宛てられていないトラフィックを含む、ネットワーク上のすべてのトラフィックをキャプチャするには、-p オプションを使用してプロミスキャスモードを有効にできます。

tshark -i eth0 -p -w network_traffic.pcap

これにより、宛先に関係なく、eth0 インターフェイス上のすべてのトラフィックがキャプチャされます。

サイバーセキュリティ関連のネットワークトラフィックを分析する

tshark でキャプチャしたトラフィックを分析する

tshark を使用してネットワークトラフィックをキャプチャしたら、データを分析して潜在的なセキュリティ脅威や異常を特定することができます。tshark は、キャプチャしたトラフィックを分析するための幅広いオプションとフィルターを提供しています。

パケット情報を表示する

キャプチャしたパケットとその詳細を表示するには、以下のコマンドを使用できます。

tshark -r network_traffic.pcap

これにより、プロトコル、ソースおよび宛先アドレス、その他の関連する詳細を含むパケット情報が表示されます。

プロトコルでトラフィックをフィルタリングする

特定のプロトコルに基づいてキャプチャしたトラフィックをフィルタリングすることで、サイバーセキュリティ分析に関連するトラフィックに焦点を当てることができます。たとえば、HTTP トラフィックのみを表示するには、以下のコマンドを使用します。

tshark -r network_traffic.pcap -Y "http"

これにより、HTTP プロトコルに一致するパケットのみが表示されます。

トラフィックパターンを分析する

tshark は、トラフィックパターンを分析し、潜在的なセキュリティ脅威を特定するために使用できます。たとえば、異常なトラフィック量、疑わしいソースまたは宛先アドレス、または異常なプロトコルの使用を探すことができます。

以下は、キャプチャしたデータ内で最も多くのトラフィックを生成しているホスト(トップトーカー)を表示する方法の例です。

tshark -r network_traffic.pcap -q -z conv,ip

これにより、トップの IP 通信を示すテーブルが表示され、多くのトラフィックを生成しているホストを特定するのに役立ちます。

異常を検出する

tshark は、ネットワークトラフィック内の異常、たとえば異常なプロトコルの使用、予期しないポート番号、または疑わしい IP アドレスを検出するためにも使用できます。フィルターと表示オプションを組み合わせて使用することで、これらの異常を特定することができます。

たとえば、潜在的なポートスキャン活動を検出するには、同じホスト上の異なるポートへの多数の接続試行を探すことができます。

tshark -r network_traffic.pcap -Y "tcp.flags.syn == 1 && tcp.flags.ack == 0" -q -z io,phs

これにより、TCP SYN パケットの分布を示すヒストグラムが表示され、潜在的なポートスキャン活動を特定するのに役立ちます。

LabEx との統合

サイバーセキュリティソリューションの主要なプロバイダーである LabEx は、ネットワークトラフィック分析機能を強化するためのさまざまなツールとサービスを提供しています。LabEx のソリューションを tshark と統合することで、高度な機能と技術を活用してサイバーセキュリティ態勢を向上させることができます。

まとめ

このチュートリアルを終えることで、Wireshark CLI を使用してサイバーセキュリティ関連のネットワークトラフィックをキャプチャし分析する方法をしっかりと理解することができます。この知識を活用することで、潜在的な脅威を特定し、セキュリティインシデントを調査し、サイバーセキュリティ攻撃からネットワークの防御を強化するための的確な判断を下すことができます。

関連 Cybersecurity コース
初心者向けサイバーセキュリティラボ

初心者向けサイバーセキュリティラボ

CybersecurityLinux
初級
Nmap のクイックスタート

Nmap のクイックスタート

CybersecurityNmap
初級
Wireshark のクイックスタート

Wireshark のクイックスタート

Cybersecurity
初級

We use cookies for a number of reasons, such as keeping the website reliable and secure, to improve your experience on our website and to see how you interact with it. By accepting, you agree to our use of such cookies. Privacy Policy