2012年 07月 12日
WireShark を使ったトレース
ここでお勧めしたいのが Ether Real の後継でオーブン化された WireShark です。
ダウンロードはこちら
Get Wireshark
ダウンロードしたファイルを実行します。
インストール > Yes
Welcome > Next
License Agree > Agree
インストール先 > 特に問題がなければデフォルト
インストールするコンポーネント
特に問題なければ全てチェック
アイコンの位置
お好みでチェック
インストール先 > デフォルトで問題なければ OK
WinCap のインストール > 必ずチェック
Install
あとは Finish が出るまでOK
-インストールしたら-
インターフェースの選択 - この作業は必ず起動後に行ってください。
メニュー、もしくはボタンから
必ず I/F にチェックを入れます。ここでは LAN 用アダプタにチェックを入れました。
特定のアドレスをモニタしたい場合
Filter 欄に ip.adder == xx.xx.xx.xx を入れて必ず[Apply] <-- よく忘れます。
スタートボタンを押します。
Ping しただけですが、このように表示されます。
いつまでもキャプチャを続けているとバッファオーバーフローしますから Stop ボタンを押します。
もう一度キャプチャをはじめようとすると ”保存しなくていいの?”というダイアログが出ます。決定的な証拠が見つかったら保存します。決定的でなければ Save しないで次のキャプチャをします。
簡単な例ですが、自分自身が正しくDNSに問い合わせをしているか確認します。
Filter 欄に "DNS and ip.adder==xx.xx.xx.xx(自分のIP)" をセットしてキャプチャしました。必ず条件( Fileter ) を設定した後 Apply を押してください。
もう少しフィルタの高度な使い方を調べたい場合はこちらのサイトをご参考ください。
Wiresharkで特定の相手との通信だけを表示させる @markIT
Wiresharkで特定のプロトコルだけを表示させる@markIT
WIRESHARK(ワイアシャーク) 個人のサイトですが非常に詳しいです。
-よくやるドジ-
- I/Fを選んでいない
- Filter を変更して Apply を押していない。
以上2点です。
--
一応 Linux 版もリリースされていますし、ソースもあるのですが、依存関係があるので、あまりお勧めできません。 Linux には通常 tcpdump というコマンドがあるので、こちらをつかうのが良いでしょう。
islandcenter.jp