Wireshark で色分けルールを作成および適用する

はじめに

この実験では、強力なネットワークプロトコルアナライザである Wireshark で着色ルールを作成して適用する方法を学びます。これらのルールを使用すると、特定の基準に従ってさまざまな種類のネットワークトラフィックを視覚的に区別でき、重要なネットワーク活動の識別と分析が容易になります。

この実験の終了時には、Wireshark の着色機能を活用する方法をより深く理解するようになります。これにより、ネットワーク分析スキルが向上し、サイバーセキュリティ調査を支援することができます。

Skills Graph

着色ルールの探索とエクスポート

このステップでは、まず Wireshark の既存の着色ルールを探索します。Wireshark の着色ルールは、特定の基準に基づいてさまざまな種類のネットワークパケットを強調表示するために使用されます。これにより、キャプチャされたネットワークトラフィック内の重要な情報を迅速に識別して分析することができます。また、これらのルールを表示し、将来使用するためにエクスポートする方法も学びます。

1. まず、Linux マシン上で Wireshark を開く必要があります。これを行うには、ターミナルを開き、次のコマンドを実行します。このコマンドにより、着色ルールを操作するために使用する Wireshark アプリケーションが起動します。

   wireshark

2. Wireshark が開いたら、着色ルールにアクセスする必要があります。Wireshark ウィンドウの上部にある View メニューに移動し、Coloring Rules... を選択します。これにより、Wireshark Coloring Rules Default ダイアログが開きます。このダイアログでは、Wireshark 内のすべての着色ルールを管理できます。

   

3. Wireshark Coloring Rules Default ダイアログでは、既存の着色ルールのリストが表示されます。各ルールには特定の条件と対応する色があります。これらのルールは、リストに表示される順序でキャプチャされたパケットに適用されます。しばらく時間をかけてルールを見て、その説明を読んでください。これらのルールを理解することで、Wireshark がネットワークトラフィックの分析をどのように効果的に支援できるかがわかります。

   

4. 特定のルールを削除せずに一時的にオフまたはオンにすることがあります。これは、リスト内のルールを選択し、その横の checkbox をクリックすることで行えます。チェックボックスがチェックされている場合、ルールは有効になっています。チェックが外れている場合、ルールは無効になっています。これは、特定のルールがパケットの着色に与える影響をテストしたい場合に便利です。

5. ここで、現在の着色ルールセットを後で使用するために保存したり、他の人と共有したいとしましょう。これらのルールをエクスポートするには、Wireshark Coloring Rules Default ダイアログの Export... ボタンをクリックします。

6. Export... ボタンをクリックすると、ファイルダイアログが表示されます。着色ルールファイルを保存する場所を選択する必要があります。/home/labex/project ディレクトリに移動します。ファイルに colorizing_rules.txt のような分かりやすい名前を付けるのが良い習慣です。これにより、後で簡単に識別できます。

   

   

7. 場所を選択し、ファイルに名前を付けたら、OK をクリックして Wireshark Coloring Rules Default ダイアログを閉じます。これで、着色ルールを正常にエクスポートしました。

新しい着色ルールの作成

このステップでは、Wireshark で新しい着色ルールを作成する方法を学びます。着色ルールは、特定のネットワークトラフィックを強調表示し、重要なパケットを簡単に見つけて分析できる強力な機能です。カスタムルールを作成することで、自分にとって最も重要なネットワークトラフィックの種類をすばやく識別できます。

1. まず、Wireshark Coloring Rules Default ダイアログを開きます。Wireshark で View > Coloring Rules... を選択します。このダイアログでは、着色ルールの作成、編集、削除を含むすべての着色ルールを管理できます。

2. 新しい着色ルールを作成するには、+ ボタンをクリックします。この操作により、既存のルールのリストに空白のルールエントリが追加されます。

   

3. 新しいルールを追加すると、New coloring rule という新しいエントリが着色ルールダイアログボックスの上部に表示されます。このエントリをダブルクリックして、ルール名を編集します。たとえば、HTTP トラフィックを強調表示したい場合は、ルール名を HTTP Traffic とすることができます。Filter フィールドには、フィルタ式を入力する必要があります。この式は、このルールによってどのパケットを強調表示するかを Wireshark に指示します。HTTP トラフィックの場合は、http と入力します。

   

4. 次に、着色オプションについて説明します。ここには 2 つの重要なボタンがあります。foreground ボタンと background ボタンです。

   foreground ボタンは、ルールに一致するパケットのテキストを強調表示するための色を選択するために使用されます。たとえば、HTTP パケットのテキストを赤色にしたい場合は、このボタンを使用して赤色を選択できます。

   

   background ボタンを使用すると、強調表示されたパケットの背景色を選択できます。これを使用すると、パケットをさらに目立たせることができます。たとえば、背景色を黄色に設定することができます。

   

5. 必要に応じて、ルールの優先度を調整できます。Wireshark のルールは、リスト内の順序に基づいて適用されます。優先度の高いルールは、優先度の低いルールよりも優先されます。優先度を変更するには、リスト内でルールを上下に drag するだけです。

6. ルールを設定したら、有効にする必要があります。ルールの横の checkbox をクリックして、新しく作成した着色ルールを有効にします。次に、OK をクリックして新しい着色ルールを保存します。これにより、パケットキャプチャにルールが適用されます。

   

7. Wireshark でキャプチャファイルを開くか、ライブキャプチャを開始すると、フィルタ式に一致するネットワークパケットが、ルールで選択した色で表示されるはずです。これにより、自分が関心のある特定のトラフィックを識別して分析するのがはるかに容易になります。

PS: ルールをテストするために HTTP トラフィックを生成したい場合は、ブラウザを起動できます。左下隅の Applications ボタンから Run Program... をクリックし、Firefox と入力します。

既存の着色ルールの修正

このステップでは、Wireshark の既存の着色ルールを修正する方法を学びます。Wireshark の着色ルールは、特定の基準に基づいてネットワークパケットを強調表示するために使用され、異なる種類のトラフィックを迅速に識別して分析するのに役立ちます。これらのルールを修正することで、パケットの表示方法をカスタマイズでき、サイバーセキュリティ分析に必要な情報に焦点を当てやすくなります。

1. まず、Wireshark を開きます。Wireshark で、ウィンドウ上部の View メニューに移動します。次に、ドロップダウンメニューから Coloring Rules... を選択します。この操作により、Wireshark Coloring Rules Default ダイアログが開きます。このダイアログでは、Wireshark 内のすべての着色ルールを管理できます。

2. Wireshark Coloring Rules Default ダイアログでは、既存の着色ルールのリストが表示されます。各ルールには名前、フィルタ式、および関連付けられた色があります。このリストから修正したい着色ルールを選択します。ルールをクリックして強調表示することができます。

3. 修正したいルールを選択したら、変更を加える主な方法は 2 つあります。ルールを double-click することができます。これを行うと、新しいウィンドウが開き、ルールの名前、ルールが適用されるパケットを決定するフィルタ式、および一致するパケットを強調表示するために使用される色を修正できます。さらに、ルールの優先度を変更することもできます。優先度は、複数のルールが単一のパケットに一致する場合に、どのルールが優先されるかを決定します。リスト内でルールを上下に dragging することで、優先度を変更できます。リストの上位にあるルールの優先度が高くなります。

4. では、ルールにいくつかの具体的な変更を加えましょう。必要に応じて、ルールの名前とフィルタ式を修正する必要があります。たとえば、ルールの名前を HTTP Traffic から Web Traffic に変更します。この新しい名前は、私たちが関心を持っているトラフィックの種類をより正確に反映しています。また、フィルタ式を http から http and tcp.port == 80 に変更します。元のフィルタ http はすべての HTTP トラフィックを強調表示しますが、tcp.port == 80 を追加することで、暗号化されていないウェブトラフィックの標準ポートであるポート 80 の HTTP トラフィックを具体的に探すことができます。

   ルールの名前：HTTP Traffic -> Web Traffic
   フィルタ式：http -> http and tcp.port == 80

   

5. ルールにすべての変更を加えたら、ダイアログの OK ボタンをクリックします。これにより、修正されたルールが保存され、Wireshark はパケットを強調表示するために新しい設定を使用し始めます。

6. 修正されたルールの効果を確認するには、Wireshark で既存のキャプチャファイルを開くか、ライブキャプチャを開始することができます。パケットが表示されると、修正されたルールに一致するネットワークパケットが更新された色で、または新しいフィルタ式に従って表示されるはずです。これにより、関心のあるポート 80 の特定のウェブトラフィックを簡単に見つけることができます。

着色ルールのインポート

このステップでは、Wireshark に着色ルールをインポートする方法を学びます。Wireshark の着色ルールは、異なる種類のネットワークトラフィックにそれぞれ異なる色を割り当てることで、迅速に識別するのに役立つ強力な機能です。これにより、キャプチャしたデータの分析と理解が容易になります。

1. まず、Wireshark を開きます。開いたら、着色ルールの設定にアクセスする必要があります。これを行うには、Wireshark ウィンドウ上部の View メニューに移動します。ドロップダウンメニューから Coloring Rules... を選択します。これにより、Wireshark Coloring Rules Default ダイアログが開きます。このダイアログでは、Wireshark 内のすべての着色ルールを管理できます。

2. Wireshark Coloring Rules Default ダイアログが開いたら、いくつかのボタンが表示されます。着色ルールをインポートするには、Import... ボタンを探してクリックします。このボタンを使用すると、外部ファイルから事前定義された着色ルールを取り込むことができます。

   

3. Import... ボタンをクリックすると、Wireshark Import Coloring Rules という新しいダイアログが表示されます。このダイアログでは、インポートしたい着色ルールが含まれるファイルを見つける必要があります。/home/labex/project ディレクトリに移動します。ここには、前にエクスポートした colorizing_rules.txt ファイルが保存されています。正しいディレクトリに移動したら、colorizing_rules.txt ファイルを選択します。

   

4. colorizing_rules.txt ファイルを選択したら、Open ボタンをクリックします。この操作により、ファイル内の着色ルールが Wireshark にインポートされます。

5. インポートが完了したら、着色ルールダイアログボックスでマウスホイールを下にスクロールします。リストの下部に新しくインポートされた着色ルールが表示されるはずです。これは、インポートが成功したことを示しており、これらのルールを使用して Wireshark 内のネットワークトラフィックを色分けすることができます。

まとめ

この実験では、Wireshark で着色ルールを作成、修正、インポート、およびエクスポートする方法を学びました。これらのルールを使用することで、特定の基準に基づいてさまざまな種類のネットワークトラフィックを視覚的に区別することができ、ネットワーク活動の識別と分析が簡単になります。このスキルは、サイバーセキュリティ調査、ネットワークトラブルシューティング、およびプロトコル分析に非常に役立ちます。

実践的な演習を通じて、ルールセットの管理に関する実際の経験を積みました。これらの技術を習得することで、ネットワーク分析のワークフローを向上させ、興味深いネットワークトラフィックパターンを迅速に見つけて優先順位を付ける能力を高めることができます。