NetFlow・sFlow対応フローコレクター NetFlow Analyzer > 機能 > トラフィック監視 > パケットキャプチャの見方とは?見方に迷わず通信を解析する方法
誰でもカンタンに使いこなせる
トラフィック解析ツール NetFlow Analyzer

パケットキャプチャツール「Wireshark」の見方

パケットキャプチャは通信を解析する手法として広く利用されています。ここでは、代表的なパケットキャプチャツールである「Wireshark」の画面の見方について解説します。なお、パケットキャプチャの方法やメリット・デメリットについては、以下のページをご参照ください。

【関連】 パケットキャプチャとは?方法やメリット・デメリットを解説

ツールは Wiresharkの公式ページからダウンロードできます。ダウンロード後は画面の指示に従って進め、最後に「Install」をクリックしてインストールを完了します。その後に起動すると、パケットキャプチャの対象とするインターフェースの選択画面が表示されます。

インターフェースの選択が完了すると、以下のようなメインの画面が表示されます。大きく分けてフィルターエリア、パケットリストエリア、パケット詳細エリア、パケットバイナリエリアの4つのエリアがあります。

solution-packet-capture-analysis Wiresharkでパケットキャプチャを行った画面

フィルターエリア(①)の解説

デフォルトの状態では収集されたすべてのパケットが表示されますが、任意の文字列でフィルターをかけることもできます。たとえば、特定のIPアドレスやプロトコル名を入力することで、それらが含まれるパケットのみに絞って表示できます。そのほか詳細に絞り込むことができるフィルターの表記法が多数存在しますが、ここでは一部のみ紹介します。

表記法概要
ip.addr特定の(送信元または宛先)IPアドレスが含まれるパケットのみを表示ip.addr == 192.168.10.1
tcp.port特定の(送信元または宛先)ポート番号が含まれるパケットのみを表示tcp.port == 80
and または &&複数の条件に合うものを表示ip.addr == 192.168.10.1 and tcp.port == 80

パケットリストエリア(②)の解説

このエリアでは、各パケットの情報を確認できます。プロトコルの種類などで色分けされています。また、通信の切断があった場合は赤色、パケットロスがあった場合は黒色で表示されます。ネットワーク障害の調査では、まずその2つを優先して確認しましょう。色分けは独自に設定することも可能です。

パケットリストエリアには以下の項目が存在します。

  • 番号(No.)
  • 時刻(Time)
  • 送信元IPアドレス(Source)
  • 宛先IPアドレス(Destination)
  • プロトコル(Protocol)
  • サイズ(Length)
  • 情報(Info)
番号(No.)

収集したパケット順に番号が振られていきます。解析においては特に気にする必要はありません。

時刻(Time)

最初のパケットを収集した瞬間からの経過時間を表示します。設定で直前のパケットの収集からの経過時間(間隔の時間)の表示に切り替えることも可能です。

送信元IPアドレス(Source)

パケットの送信元のIPアドレス、またはMACアドレスを表示します。

宛先IPアドレス(Destination)

パケットの宛先のIPアドレス、またはMACアドレスを表示します。

プロトコル(Protocol)

パケットで使用されているプロトコルのうち、Wiresharkが認識した最上位のものを表示します。

サイズ(Length)

パケットのバイト数を表示します。

情報(Info)

そのパケットがどのような意味を持っているかを表示します。たとえば、上記画像の一番上のパケットの場合、1番目のIPアドレスに対応するMACアドレスを問い合わせ、そのMACアドレスを2番目のIPアドレスに届けるといったARP解決が行われていることがわかります。

パケット詳細エリア(③)の解説

このエリアでは、パケットリストエリアで選択したパケットの詳細を確認できます。TCP/IPの階層モデルの各層ごとの情報が表示されています。たとえば、上記の画像の場合、「Ethernet Ⅱ」ではネットワーク・インターフェース層に該当するEthernetヘッダに含まれる宛先/送信元などの情報を表示し、「Internet Protocol version 4」ではインターネット層に該当するIPヘッダに含まれる宛先/送信元などの情報を表示します。

パケットバイトエリア(④)の解説

このエリアでは、パケットリストエリアで選択したパケットの16進数の生データを確認できます。この生データを人間にもわかりやすくしたのが、前項のパケット詳細エリアになります。通常の解析では、このエリアは気にする必要はありません。

 

見方に迷う時間が命取り!瞬時に通信を解析する方法

Wiresharkなどを用いたパケットキャプチャは、通信を解析する上で重要な役割を果たします。ただし、専門知識や経験が少ない場合、見方に迷ってしまい解析に時間がかかることもあります。特にネットワーク障害発生などの緊急時には、一刻も早く原因を特定し、復旧対応を行う必要があります。

ManageEngineでは、通信を解析してわかりやすく可視化するツール「NetFlow Analyzer」をご提供しています。次のような特徴があります。

  • 直観的なインターフェースで操作が簡単
  • 「いつ・誰が・どんな」通信をしていたか可視化
  • 安心の日本語サポートつき
image_solution_packet-capture-analysis_02 NetFlow Analyzerで通信のアプリケーション情報を可視化した画面

NetFlow Analyzerは日本語サポート込みで低価格帯にてご利用いただけます。30日間すべての機能をお試しできる無料評価版もございますので、ぜひご活用ください。また、以下の体験サイトでは、ブラウザ上ですぐに操作感をお確かめいただけます。

インストール不要で操作できる体験サイト

ManageEngineのトラフィック可視化ツール「NetFlow Analyzer」では、ツールの使用感を確認できるGUIベースのサイトを提供しております。制限はありますが、実際に操作いただくことも可能です。

インストールや設定は一切必要ないので、お気軽にお試しください。

nfa-cv-demo

今すぐ体験 ▶▶▶

onboarding-ban-img