Wiresharkを使ってみよう
Wireshakの概要
Wiresharkは、Open Source Software(OSS)として開発、公開されているGUIベースのパケット解析ツールです。OSSであるため、誰もが無償で入手して使用することができます(ライセンスは、GNU General Public License version 2)。また、FreeBSD、Linux、Solaris、Mac OS Xなどの多くのUNIX風OSやWindowsなど数多くのOS上で利用することができます。
Wiresharkは、当初はEtherealと言う名前で開発、公開が進められていました。しかし、Etherealの著作権を、Etherealの開発者が所属していた企業が保持していたため、開発者は退職後それ以上Etherealの開発を進めることができなくなりました。そこで、開発者は2006年半ばにWiresharkと言う名前で新たに開発を開始し、現在も開発を進めています。
Wiresharkは、Wireshark:Go deep(http://www.wireshark.org/)よりソースコードをダウンロードし、ビルドすれば利用できます。また、WindowsなどいくつかのOSにおいては、ソースコードのほかにバイナリ形式のものも公開されているため、それらを利用してインストールすることもできます。
Wiresharkを用いてコンピュータに到着するパケットの監視を始めるには、メイン画面のメニューから「Capture」を選択し、さらに「Interfaces」を選択します。「Interfaces」には、コンピュータに接続されているNICの一覧がIPアドレスとともに表示されるため、その中から自分が監視したいNICの右側にある「Start」ボタンをクリックします。パケットの監視を終了する場合は、同じく「Capture」メニューから「Stop」を選択すると、それまでに到着したパケットの情報がメイン画面に表示されます。
Wireshark実行結果
図2が実際にWiresharkを用いてパケットを監視したときの出力結果です。上段には、到着したパケットの簡単な情報の一覧、中段には選択しているパケットの詳細なヘッダー情報、下段にはパケットの内容を16進数(およびASCII文字)が表示されます。
上段の一覧情報は、プロトコルごとに色分けをして表示させることができます。また、プロトコルによっては同じプロトコルであっても、正常なパケットとエラーパケットを色分けすることができます。そのため、色分けを工夫することによって、通信中に何らかの問題が発生した部分が視覚的に分かりやすいように設定することができます。色分けの設定は、メイン画面の「View」メニューから「Coloring Rules」を選択することで変更できます。
中段のヘッダー情報は、プロトコルごとに分けて出力されます。例えば、HTTPの場合は、Frame、Ethernet、IP、TCP、HTTPの順で表示されます。tcpdumpでは解析されなかったトランスポート層より上位のプロトコルのヘッダー情報に関しても解析して表示されるので、プログラムのバグや問題が発生した原因を調査する際には役立つでしょう。
パケットのフィルタリングオプションについては、「Capture」メニューの「Options」で設定することができます。フィルタリングオプションの条件指定は、tcpdumpと同様の指定方法が用いられています。パケットのフィルタリングオプションに関する詳細は、連載の第2回(http://thinkit.jp/article/730/1/)を参照してください。
また、パケットの監視を終了する条件もここで指定することができます。tcpdumpは、Ctrl+Cコマンドで強制終了するか、一定数のパケットが到着を終了条件とする2通りしか終了方法がありませんが、Wiresharkでは終了条件として一定量のパケット(Byte 単位)が到着すること、および一定時間が経過することの2通りが追加されています。