Wiresharkを最大限に活用するための5のキラートリック

Wiresharkは、リモートトラフィックのキャプチャからキャプチャされたパケットに基づくファイアウォールルールの作成まで、かなりの数のトリックを持っています。あなたがプロのようにWiresharkを使用したい場合は、いくつかのより高度なヒントを読んでください。.

Wiresharkの基本的な使い方についてはすでに説明したので、この強力なネットワーク分析ツールの概要については、必ず元の記事を読んでください。.

ネットワーク名解決

パケットをキャプチャしている間、WiresharkはIPアドレスだけを表示することに悩まされるかもしれません。自分でIPアドレスをドメイン名に変換できますが、それほど便利ではありません。.

WiresharkはこれらのIPアドレスを自動的にドメイン名に解決しますが、この機能はデフォルトでは有効になっていません。このオプションを有効にすると、可能な限りIPアドレスではなくドメイン名が表示されます。欠点は、Wiresharkが各ドメイン名を調べなければならず、追加のDNS要求でキャプチャされたトラフィックが汚染されることです。.

この設定を有効にするには、から設定ウィンドウを開きます。 編集する -> 設定, をクリック 名前解決 パネルをクリックしてネットワーク名解決を有効にするチェックボックス.

自動的にキャプチャを開始する

遅延なくパケットのキャプチャを開始したい場合は、Wirsharkのコマンドライン引数を使用して特別なショートカットを作成できます。 Wiresharkがインターフェースを表示する順序に基づいて、使用したいネットワークインターフェースの番号を知る必要があります。.

Wiresharkのショートカットのコピーを作成し、それを右クリックして、その[プロパティ]ウィンドウに移動して、コマンドライン引数を変更します。追加する -私#k ショートカットの最後まで＃使用したいインターフェースの番号-iオプションはインターフェースを指定しますが、-kオプションはWiresharkにただちにキャプチャを開始するように指示します。.

Linuxまたは他のWindows以外のオペレーティングシステムを使用している場合は、次のコマンドでショートカットを作成するか、端末から実行してすぐにキャプチャを開始します。

wireshark -i＃-k

より多くのコマンドラインショートカットについては、Wiresharkのマニュアルページをチェックしてください。.

リモートコンピュータからのトラフィックのキャプチャ

Wiresharkはデフォルトでシステムのローカルインターフェースからトラフィックをキャプチャしますが、これは必ずしもキャプチャしたい場所ではありません。たとえば、ネットワーク上の別の場所にあるルータ、サーバ、または他のコンピュータからのトラフィックをキャプチャすることができます。これはWiresharkのリモートキャプチャ機能が登場するところです。この機能は現時点ではWindowsでのみ利用可能です - Wiresharkの公式文書はLinuxユーザがSSHトンネルを使用することを推奨します.

まず、リモートシステムにWinPcapをインストールする必要があります。 WinPcapにはWiresharkが付属しているので、すでにリモートシステムにWiresharkがインストールされている場合はWinPCapをインストールする必要はありません。.

開始したら、リモートコンピュータの[サービス]ウィンドウを開きます。[スタート]ボタンをクリックし、次のように入力します。 services.msc スタートメニューの検索ボックスに入力してEnterを押します。を探します リモートパケットキャプチャプロトコル リスト内のサービスとそれを起動します。このサービスはデフォルトで無効になっています.

クリック キャプチャオプションsをWiresharkにリンクし、次に選択します。 リモート インターフェイスボックスから.

リモートシステムのアドレスを入力して 2002年 ポートとして。接続するにはリモートシステムのポート2002にアクセスできる必要があるので、ファイアウォールでこのポートを開く必要があるかもしれません。.

接続後、[Interface]ドロップダウンボックスからリモートシステムのインターフェイスを選択できます。クリック開始リモートキャプチャを開始するインターフェイスを選択した後.

ターミナルのワイヤーシャーク（TShark）

システムにグラフィカルインタフェースがない場合は、TSharkコマンドを使用して端末からWiresharkを使用できます。.

まず、 tshark -D コマンド。このコマンドはあなたにあなたのネットワークインターフェースの番号を与えるでしょう.

あなたが持っていたら、実行してください tshark -i＃ ＃を置き換えたいインターフェイスの番号に置き換えます。.

TSharkはWiresharkのように動作し、キャプチャしたトラフィックを端末に出力します。つかいます Ctrl + C キャプチャを停止したいとき.

パケットを端末に出力することは最も有用な動作ではありません。トラフィックをより詳細に検査したい場合は、後で検査できるようにTSharkにそれをファイルにダンプさせることができます。トラフィックをファイルにダンプするには、代わりにこのコマンドを使用します。

tshark -i＃-wファイル名

TSharkはパケットがキャプチャされているときにはそのパケットを表示しませんが、キャプチャするときにカウントします。あなたが使用することができます ファイル -> 開いた 後でキャプチャファイルを開くためのWiresharkのオプション.

TSharkのコマンドラインオプションの詳細については、そのマニュアルページをチェックしてください。.

ファイアウォールACLルールの作成

ファイアウォールを担当しているネットワーク管理者で、Wiresharkを使用して問題を回避している場合は、表示されるトラフィックに基づいて対処することをお勧めします - おそらく不審なトラフィックをブロックするためです。 Wireshark's ファイアウォールACLの規則 あなたのファイアウォールにファイアウォールルールを作成するのに必要なコマンドを生成するツール.

まず、ファイアウォールルールを作成したいパケットをクリックして選択します。その後、道具メニューと選択 ファイアウォールACLの規則.

使用製品ファイアウォールの種類を選択するメニュー。 Wiresharkは、Cisco IOS、iptablesを含むさまざまな種類のLinuxファイアウォール、およびWindowsファイアウォールをサポートします。.

あなたが使用することができます フィルタ システムのMACアドレス、IPアドレス、ポート、またはIPアドレスとポートの両方に基づいてルールを作成するためのボックス。ファイアウォール製品によっては、表示されるフィルタオプションが少なくなることがあります。.

デフォルトでは、このツールはインバウンドトラフィックを拒否するルールを作成します。チェックボックスをオフにすることで、ルールの動作を変更できます。 インバウンド または拒否チェックボックスルールを作成したら、 コピーする ボタンをクリックしてコピーしてからファイアウォールで実行してルールを適用します。.

将来、Wiresharkについて何か具体的なことを書いてもらいたいですか。ご要望やご意見がございましたら、コメント欄にお知らせください。.