LabEx
ログイン登録

Wireshark インターフェースの探索とカスタマイズ

WiresharkBeginner
オンラインで実践に進む

はじめに

この実験 (lab) では、ネットワークトラフィックの分析とトラブルシューティングに不可欠な Wireshark のインターフェースとそのコンポーネントについて学びます。Wireshark GUI のさまざまな部分を調べ、その機能を理解し、インターフェースをカスタマイズする実践的な経験を積みます。

この実験 (lab) を終える頃には、Wireshark の基本的なレイアウトに精通し、ネットワークトラフィックの分析を開始するための準備が整っているでしょう。

Wireshark の起動

このステップでは、Wireshark を起動し、その初期インターフェースに慣れていただきます。Wireshark は、ネットワーク分析の分野で非常に役立つツールです。これは強力なネットワークプロトコルアナライザ (network protocol analyzer) であり、ネットワークを流れるデータトラフィックをキャプチャ (capture) して調べることができます。これは、ネットワーク上のさまざまなデバイスがどのように通信しているかを理解し、潜在的なセキュリティ上の脅威を検出し、ネットワークの問題をトラブルシューティング (troubleshooting) するために非常に重要です。

ターミナルからの Wireshark の起動 (Launching Wireshark from the Terminal)

まず、ターミナルを使用して Wireshark を起動する方法を学びます。ターミナルは、コマンドを入力してコンピュータと対話できるテキストベースのインターフェースです。

  1. LabEx VM のデスクトップ環境にいることを確認してください。仮想マシン (VM: Virtual Machine) は、実際のコンピュータ内で実行されている別のコンピュータのようなもので、デスクトップ環境は、アイコンやウィンドウが表示されるグラフィカルインターフェースです。
  2. ターミナルを開きます。これを行うには、2 つの方法があります。画面の下部または上部にあるタスクバーのターミナルアイコンをクリックします。または、キーボードショートカット Ctrl+Alt+T を同時に押します。
  3. ターミナルが開いたら、Wireshark を起動するためのコマンドを入力する必要があります。ターミナルで、次のコマンドを入力して Enter キーを押します。
wireshark

このコマンドは、コンピュータに Wireshark プログラムを起動するように指示します。

  1. Enter キーを押した後、Wireshark が起動するまで数秒待ちます。準備ができたら、次の図に示すように、Wireshark のメインウィンドウが画面に表示されます。

Wireshark Main Window

初期画面の理解 (Understanding the Initial Screen)

Wireshark を最初に開くと、画面上にいくつかの重要な要素が表示されます。

  • Wireshark に関する基本的な情報を提供するウェルカム画面があります。これにより、ツールで何ができるかの概要を把握できます。
  • 利用可能なネットワークインターフェース (network interface) のリストが表示されます。ネットワークインターフェースは、コンピュータがネットワークに接続するためのドアのようなものです。これらのインターフェースのいずれかを選択して、コンピュータに出入りするトラフィックをキャプチャできます。
  • 最近のキャプチャファイル (capture file) のリストが表示される場合があります。以前に Wireshark を使用してキャプチャファイルを保存した場合は、ここで開いて、以前にキャプチャしたネットワークトラフィックを確認できます。
  • ディスプレイフィルタ (display filter) とキャプチャフィルタ (capture filter) の入力フィールドもあります。フィルタは、特定の種類のネットワークトラフィックに焦点を当てるために使用されます。たとえば、フィルタを使用して、特定の IP アドレスからのトラフィックのみを表示できます。

この初期画面をよく見てください。これは、通常、ネットワークインターフェースを選択してトラフィックのキャプチャを開始したり、以前に保存したキャプチャファイルを開いたりする開始点です。

インターフェースの主要領域の識別 (Identifying the Main Areas of the Interface)

ネットワークトラフィックのキャプチャを開始する前でも、Wireshark インターフェースの主要領域を識別できます。これらの領域は、Wireshark を効果的に使用するためのさまざまな機能とコントロールを提供するため、重要です。

  • ウィンドウの一番上には、メニューバー (Menu Bar) があります。これには、File、Edit、View などのオプションが含まれています。これらのオプションを使用して、キャプチャファイルの保存、表示設定の変更、設定の編集など、さまざまなアクションを実行できます。
  • メニューバーの下には、ツールバー (Toolbar) があります。これには、一般的なアクションのボタンがあります。たとえば、キャプチャを開始または停止したり、ファイルをすばやく保存したりするためのボタンがあります。
  • フィルタバー (Filter Bar) は、ディスプレイフィルタを入力できる場所です。前述のように、フィルタは特定の種類のトラフィックに焦点を当てるのに役立ちます。ここにフィルタ式を入力して、条件を満たすトラフィックのみを表示できます。
  • メインコンテンツ領域には、現在ウェルカム画面が表示されています。後でキャプチャを開始すると、この領域にキャプチャされたネットワークトラフィックが表示されます。

Wireshark Main Window

次のステップでは、これらのコンポーネントについてさらに詳しく説明します。

Wireshark インターフェースの探索

このステップでは、Wireshark インターフェースのさまざまな部分を詳しく見ていきます。Wireshark はネットワークトラフィック分析のための強力なツールであり、そのコンポーネントを理解することは、ネットワークデータを効果的に調べるために不可欠です。これらの要素に慣れることで、ネットワークトラフィックを分析し、問題をトラブルシューティングするための準備がより整います。

サンプルキャプチャの開始 (Starting a Sample Capture)

Wireshark インターフェースの探索を容易にするために、最初にいくつかのサンプルネットワークトラフィックをキャプチャします。その方法は次のとおりです。

  1. Wireshark のメインウィンドウを開きます。このウィンドウには、ネットワークインターフェースのリストが表示されます。これらのインターフェースは、コンピュータがさまざまなネットワークに接続するためのドアのようなものです。たとえば、eth0 はイーサネットネットワーク接続であり、lo はループバックインターフェース (loopback interface) である可能性があります。ループバックインターフェースは、コンピュータがそれ自体と通信できるようにする特別なネットワークインターフェースです。

loopback interface

  1. リストから lo という名前のインターフェースを見つけてクリックします。lo をクリックすると、Wireshark はローカルループバックインターフェースを通過するすべてのネットワークトラフィックのキャプチャを開始します。これは、シンプルで制御された環境であるため、開始するのに最適な方法です。

  2. 数秒後、Wireshark ツールバーを見てください。赤い四角いアイコンが表示されます。これは 停止 (Stop) ボタンです。クリックしてトラフィックキャプチャを停止します。

キャプチャを停止すると、Wireshark ウィンドウにキャプチャされたパケットのリストが表示されます。これらのパケットは、Wireshark インターフェースのさまざまなコンポーネントを探索するのに役立ちます。

メインインターフェースコンポーネント (Main Interface Components)

Wireshark インターフェースは、いくつかの重要な領域に分かれています。各領域には特定の機能があり、キャプチャされたネットワークトラフィックに関するさまざまな種類の情報を提供します。

1. メニューバー (Menu Bar)

Wireshark ウィンドウの一番上に、メニューバーがあります。メニューバーにはさまざまなメニューがあり、それぞれに関連するコマンドのセットがあります。各メニューの機能は次のとおりです。

Menu Bar

  • ファイル (File): このメニューは、基本的なファイル操作に使用されます。これを使用して、既存のキャプチャファイルを開いたり、現在のキャプチャを保存したり、キャプチャされたデータをさまざまな形式でエクスポートしたりできます。
  • 編集 (Edit): [編集] メニューには、キャプチャされたパケットからデータをコピーしたり、パケット内の特定の情報を見つけたり、Wireshark の動作に関する個人的な設定を行ったりするためのコマンドがあります。
  • 表示 (View): このメニューでは、パケットとインターフェース要素の表示方法を制御できます。Wireshark ウィンドウのレイアウト、フォントサイズ、その他の視覚的な側面を変更できます。
  • キャプチャ (Capture): [キャプチャ] メニューには、トラフィックキャプチャプロセスの開始、停止、および構成のオプションがあります。フィルタを設定したり、キャプチャ元のネットワークインターフェースを選択したりできます。
  • 分析 (Analyze): このメニューには、パケットデータを詳細に分析するためのツールが含まれています。これらのツールを使用して、パターンを探したり、異常を検出したり、ネットワークトラフィックの動作を理解したりできます。
  • 統計 (Statistics): [統計] メニューには、さまざまな統計ツールがあります。これらのツールは、送受信されたパケットの数、プロトコルの分布など、キャプチャされたトラフィックの全体的な特性を理解するのに役立ちます。
  • テレフォニー (Telephony): VoIP (Voice over Internet Protocol) またはその他のテレフォニー関連のネットワークトラフィックを扱っている場合、[テレフォニー] メニューには、これらの種類のプロトコル専用に設計された分析ツールがあります。
  • ワイヤレス (Wireless): ワイヤレスネットワーク分析の場合、[ワイヤレス] メニューには、信号強度、チャネル使用率など、ワイヤレスネットワークの固有の特性に合わせて調整されたツールがあります。
  • ヘルプ (Help): [ヘルプ] メニューには、ドキュメントと支援リソースが含まれています。行き詰まったり、Wireshark の特定の機能の使用方法について詳しく知りたい場合は、ここで回答を見つけることができます。

2. ツールバー (Toolbar)

ツールバーは、メニューバーのすぐ下にあります。Wireshark で最も一般的に使用される機能へのクイックアクセスを提供します。

マウスをツールバーに移動すると、ボタンの名前を示すツールチップが表示されます。

Toolbar

ツールバーの各ボタンのグループの機能は次のとおりです。

  • キャプチャの開始/停止 (Start/Stop Capture): これらのボタンを使用すると、[キャプチャ] メニューを使用せずに、トラフィックキャプチャプロセスを簡単に開始および停止できます。
  • 開く/保存 (Open/Save): [開く] ボタンと [保存] ボタンは、[ファイル] メニューのファイル操作のショートカットです。これらを使用して、既存のキャプチャファイルをすばやく開いたり、現在のキャプチャを保存したりできます。
  • ズーム (+/-) (Zoom (+/-)): ズームツールを使用すると、パケットビューを拡大および縮小できます。これは、特定のパケットを詳しく調べたり、一度に多くのパケットを表示したりする場合に役立ちます。
  • 移動 (Go To): [移動] ボタンは、ナビゲーションに使用されます。これらを使用して、キャプチャされたリスト内の異なるパケット間をすばやく移動できます。
  • 色付け (Colorize): [色付け] コントロールを使用すると、パケットリスト内のパケットの色を変更できます。色付けは、特性に基づいてさまざまな種類のパケットをすばやく識別するのに役立ちます。

3. パケットリストペイン (Packet List Pane)

パケットリストペインは、Wireshark インターフェースの最も重要な部分の 1 つです。キャプチャされたすべてのパケットのリストと、各パケットに関するいくつかの重要な概要情報を表示します。パケットリストペインの各列の意味は次のとおりです。

Packet List Pane

  • No.: これは、キャプチャ内のパケット番号です。これは、パケットがキャプチャされた順序を追跡するのに役立つシーケンシャル番号です。
  • Time: [時間] 列には、パケットがキャプチャされたときのタイムスタンプが表示されます。これは、ネットワークイベントのタイミングを理解するのに役立ちます。
  • Source: [送信元] 列には、パケットを送信したデバイスの IP アドレスが表示されます。これは、ネットワークトラフィックの送信元を特定するのに役立ちます。
  • Destination: [宛先] 列には、パケットの宛先であるデバイスの IP アドレスが表示されます。これは、ネットワークトラフィックの宛先を示します。
  • Protocol: [プロトコル] 列は、パケットで検出された最上位レイヤープロトコルを示します。たとえば、TCP (Transmission Control Protocol)、UDP (User Datagram Protocol)、または HTTP (Hypertext Transfer Protocol) である可能性があります。
  • Length: [長さ] 列には、パケットの長さがバイト単位で表示されます。これにより、送信されるデータのサイズを把握できます。
  • Info: [情報] 列には、パケットの内容の概要が表示されます。これにより、Web ページの要求やサーバーからの応答など、パケットが行っていることの概要をすばやく把握できます。

特定のパケットに関する詳細情報を表示するには、パケットリストペインでそのパケットをクリックします。これを行うと、Wireshark インターフェースの他のペインが更新され、選択したパケットに関する詳細が表示されます。

4. パケット詳細ペイン (Packet Details Pane)

パケット詳細ペインには、選択したパケットに関する詳細情報が階層形式で表示されます。パケットリストペインでパケットをクリックすると、このペインにそのパケットに関するすべての情報がプロトコルレイヤーごとに分割されて表示されます。

Packet Details Pane

  • パケットは、フレームレイヤー、イーサネットレイヤー、IP レイヤー、TCP レイヤーなど、さまざまなプロトコルレイヤーに分割されます。各レイヤーは、ネットワーク通信プロセスの異なる部分を表します。
  • 各レイヤーの横に矢印があります。この矢印をクリックして、レイヤーを展開または折りたたむことができます。レイヤーを展開すると、そのレイヤー内のすべてのフィールドと値が表示されます。これらは、パケットに関する特定の情報を提供します。

さまざまなプロトコルレイヤーの横にある矢印をクリックして、パケットの特定の詳細をどのようにドリルダウンできるかを確認してください。これは、ネットワークプロトコルがどのように機能し、データがネットワーク上でどのように送信されるかを理解するのに最適な方法です。

5. パケットバイトペイン (Packet Bytes Pane)

パケットバイトペインには、選択したパケットの生のバイトが 16 進形式と ASCII 形式の両方で表示されます。このペインでは、パケットデータをローレベルで表示できます。

Packet Bytes Pane

  • パケットバイトペインの左側の列には、オフセットが表示されます。これは、パケット内の各バイトの位置です。
  • 中央の列には、バイトの 16 進値が表示されます。16 進数は、コンピュータサイエンスでバイナリデータをより人間が読める形式で表現するために一般的に使用される数値システムです。
  • 右側の列には、バイトの ASCII 表現が表示されます。ASCII は、バイナリデータを文字にマッピングする文字エンコード標準です。

パケット詳細ペインで特定のフィールドを選択すると、パケットバイトペイン内の対応するバイトが強調表示されます。これは、パケット詳細ペインの高レベルのプロトコル情報とパケットバイトペインの生のバイナリデータとの関係を理解するのに役立ちます。

ペインのサイズ変更 (Resizing Panes)

Wireshark インターフェースの各ペインのサイズを調整して、分析にとって最も重要な情報に焦点を当てることができます。その方法は次のとおりです。

  1. カーソルを 2 つのペインの間の区切り線に移動します。これを行うと、カーソルがサイズ変更カーソルに変わります。これは、両方向矢印のように見えます。これは、ペインのサイズを変更できることを示します。

  2. マウスボタンをクリックしたまま、区切り線をドラッグして、好みに応じてペインのサイズを変更します。一方のペインを大きくし、もう一方のペインを小さくすることができます。

  3. たとえば、一度に多くのパケットを表示する場合は、パケットリストペインを大きくすることができます。スクロールせずにパケットに関する詳細情報を表示する場合は、パケット詳細ペインを大きくすることができます。

  4. 区切り線をダブルクリックすることもできます。これを行うと、Wireshark はペインのサイズを自動的にデフォルトまたは最適なサイズに変更します。

ペインのサイズを変更する機能は、特に多数のパケットまたは詳細なプロトコル情報を含む複雑なネットワークキャプチャを分析する場合に非常に役立ちます。これにより、特定の分析ニーズに合わせて Wireshark インターフェースをカスタマイズできます。

Wireshark インターフェースのカスタマイズ

このステップでは、Wireshark のインターフェースをカスタマイズする方法を探ります。インターフェースのカスタマイズは、Wireshark を個人の好みに合わせて調整し、ネットワーク分析タスクをより効率的に行うことができるため、非常に重要です。Wireshark には、ワークフローを大幅に向上させることができる幅広いカスタマイズオプションが用意されています。

レイアウトのカスタマイズ

Wireshark は、メインペインの配置を決定するさまざまなレイアウトオプションを提供しています。これらのペインは、キャプチャされたネットワークデータのさまざまな側面を表示するため、不可欠です。

  1. まず、Wireshark ウィンドウの上部にあるメニューバーを見つけます。Edit をクリックし、ドロップダウンメニューから Preferences を選択します。これにより、さまざまな設定変更を行える Preferences ウィンドウが開きます。
  2. Preferences ウィンドウで、左側のサイドバーを見ます。Appearance に移動し、Layout をクリックします。ここでは、インターフェースのレイアウトに関連する設定が見つかります。
  3. いくつかのレイアウトオプションから選択できます。
    • Packet List, Packet Details, and Packet Bytes in one column (default): すべての重要な情報が 1 つの列に積み重ねられているデフォルトのレイアウトです。
    • Packet List on top, Packet Details and Packet Bytes in one column below: このレイアウトでは、Packet List が上部にあり、他の 2 つのペインがその下に 1 つの列で表示されます。
    • Packet List on top, Packet Details and Packet Bytes side by side below: ここでは、Packet List が上部にあり、Packet Details と Packet Bytes のペインがその下に横並びに配置されます。
    • Custom layout: このオプションを使用すると、特定のニーズに合わせてペインをグリッド状に配置できます。
  4. 別のレイアウトを選択してみてください。たとえば、「Packet List on top, Packet Details and Packet Bytes side by side below」です。これにより、分析要件に応じてデータをより良く表示できます。
  5. レイアウトを選択したら、OK をクリックして変更を適用します。
  6. インターフェースのレイアウトがどのように変化するかを観察します。異なるレイアウトは、異なる分析タスクや画面サイズにより適している場合があります。たとえば、大きな画面を使用している場合、詳細な分析には横並びのレイアウトの方が便利かもしれません。

Wireshark layout options

パケットリストの列のカスタマイズ

Packet List Pane には、キャプチャされたパケットのリストが表示されます。このペインに表示される列を変更して、分析に最も関連性の高い情報を表示できます。

  1. Packet List Pane の任意の列ヘッダーを右クリックします。コンテキストメニューが表示され、いくつかのオプションが表示されます。
  2. コンテキストメニューから Column Preferences を選択します。これにより、Packet List Pane の列を管理できるウィンドウが開きます。
  3. 開いた Preferences ウィンドウで:
    • 新しい列を追加するには:**+** ボタンをクリックします。列の種類を選択できるドロップダウンメニューが表示されます。種類を選択した後、新しい列のタイトルを入力します。
    • 列を削除するには:削除したい列をリストから選択し、**-** ボタンをクリックします。
    • 列の順序を変更するには:列を選択し、上下の矢印ボタンを使用してリスト内で上下に移動します。
    • 列を変更するには:列をダブルクリックします。これにより、タイトルや表示するフィールドなどのプロパティを編集できます。
  4. 新しい列を追加してみましょう。
    • + ボタンをクリックします。
    • 「Field type」で「Custom」を選択します。これにより、表示する特定のフィールドを選択する柔軟性が得られます。
    • 「Field name」に「ip.src」と入力します。これにより、パケットの送信元 IP アドレスが表示されます。
    • 「Title」に「Source IP」と入力します。これが新しい列のタイトルになります。
    • OK をクリックして設定を確認します。
  5. Preferences ウィンドウで OK をクリックして変更を適用します。
  6. Packet List Pane に新しい列が表示されているはずです。この新しい列は、キャプチャされたパケットの送信元 IP アドレスをすばやく特定するのに役立ちます。

Packet List Column Preferences

カラー ルールの設定

Wireshark は、さまざまな種類のトラフィックをすばやく識別できるように色を使用します。これらのカラー ルールをカスタマイズすることで、さまざまなパケット タイプをさらに簡単に区別できます。

  1. メニューバーから View を選択し、Coloring Rules をクリックします。これにより、Coloring Rules ウィンドウが開きます。
  2. Coloring Rules ウィンドウには、既存のカラー ルールのリストが表示されます。各ルールには 3 つの主要なコンポーネントがあります。
    • 名前:ルールのラベルであり、識別を容易にします。
    • 表示フィルター:ルールが適用されるパケットを決定します。たとえば、特定のプロトコルのパケットのみに一致するようにフィルターを設定できます。
    • 前景および背景色:一致するパケットを強調表示するために使用される色です。
  3. 新しいカラー ルールを追加するには:
    • + ボタンをクリックします。
    • ルールの名前を入力します。たとえば、「ICMP Packets」です。これにより、後でルールを簡単に認識できます。
    • 表示フィルターを入力します。たとえば、「icmp」です。このフィルターにより、ルールが ICMP パケットにのみ適用されるようになります。
    • 前景および背景色のボタンをクリックして、これらのパケットを強調表示するために使用したい色を選択します。
    • OK をクリックして新しいルールを保存します。
  4. ルールの優先順位を変更するには、ルールを選択し、上下ボタンを使用します。上部にあるルールは、下部にあるルールよりも優先順位が高くなります。これは、パケットが複数のルールに一致する場合、最も優先順位の高いルールが適用されることを意味します。
  5. OK をクリックして変更を適用します。
  6. フィルターに一致するパケットが、選択した色で表示されるようになったことを確認します。これにより、キャプチャされたデータ内の特定の種類のトラフィックをすばやく見つけることがはるかに容易になります。

Wireshark coloring rules setup

プロファイルの保存

Wireshark を好みに合わせてカスタマイズした後、設定をプロファイルとして保存できます。プロファイルは、作業しているネットワーク分析タスクの種類に応じて、さまざまなインターフェース構成をすばやく切り替えることができるため便利です。

  1. メニューバーから Edit を選択し、Configuration Profiles をクリックします。これにより、Configuration Profiles ウィンドウが開きます。
  2. Configuration Profiles ウィンドウで、**+** をクリックして新しいプロファイルを作成します。
  3. プロファイルの名前を入力します。たとえば、「My Custom Profile」です。この名前により、後でプロファイルを簡単に識別できます。次に OK をクリックします。
  4. 現在の設定は、このプロファイルに保存されました。これは、このプロファイルを選択するたびに、カスタマイズした設定が読み込まれることを意味します。
  5. Edit > Configuration Profiles に移動し、リストからプロファイルを選択することで、さまざまなプロファイルを切り替えることができます。たとえば、一般的なブラウジング用のプロファイルと、詳細なプロトコル分析用の別のプロファイルを持つことができます。

デフォルト設定の復元

多くの変更を行った後にデフォルトの Wireshark 設定に戻したい場合は、デフォルトの構成プロファイルに切り戻すのが正しい方法です。このプロファイルは組み込みであり、元の設定を保持します。

  1. メニューバーから Edit を選択し、Configuration Profiles をクリックします。これにより、Configuration Profiles ウィンドウが開きます。
  2. プロファイルのリストで、Default プロファイルを選択します。
  3. OK をクリックします。これにより、レイアウト、列、および色がデフォルトの状態にすぐに復元されます。

これを行うより簡単な方法は、Wireshark ウィンドウの右下にあるステータスバーのプロファイル名を右クリックし、コンテキストメニューから Default を選択することです。

この操作でカスタムプロファイルが削除されるわけではありません。いつでも元のプロファイルに戻すことができます。

まとめ

この実験 (Lab) では、ネットワークトラフィックの分析とトラブルシューティングに不可欠な Wireshark インターフェースとそのコンポーネントについて学習しました。Wireshark の起動プロセスを探索し、その 5 つの主要なコンポーネントに慣れ、基本的なキャプチャを開始して分析用のトラフィックを生成する方法を学びました。

また、キャプチャされたパケットのナビゲート、インターフェースのカスタマイズ、構成プロファイルの作成方法も習得しました。これらのスキルは、高度なネットワーク分析のための確固たる基盤を築きます。サイバーセキュリティとネットワーク管理の分野で進歩するにつれて、Wireshark を使用およびカスタマイズする能力は、トラブルシューティング、インシデント分析、およびネットワークプロトコルの理解に非常に役立ちます。

関連 Wireshark コース
初心者向け Wireshark

初心者向け Wireshark

cybersecuritywireshark
Wireshark と Tshark を用いたサイバーセキュリティ分析

Wireshark と Tshark を用いたサイバーセキュリティ分析

cybersecuritywireshark