WireShark を使ったトレース

「うまく動かないなぁ」という時、パケットトレースが以外な状態を教えてくれる場合があります。現代は開放バス型のネットワークではないため、HUBにアナライザをつないで...という技が利きませんので、対象のPCのパケットを直接トレースして原因を調べることになります。

ここでお勧めしたいのが Ether Real の後継でオーブン化された WireShark です。

ダウンロードはこちら
Get Wireshark

ダウンロードしたファイルを実行します。

インストール > Yes

Welcome > Next

License Agree > Agree

インストール先 > 特に問題がなければデフォルト

インストールするコンポーネント
WireShark を使ったトレース_a0056607_1734743.jpg

特に問題なければ全てチェック

アイコンの位置
WireShark を使ったトレース_a0056607_173665.jpg

お好みでチェック

インストール先 > デフォルトで問題なければ OK

WinCap のインストール > 必ずチェック
WireShark を使ったトレース_a0056607_17385128.jpg


Install

あとは Finish が出るまでOK

-インストールしたら-

インターフェースの選択 - この作業は必ず起動後に行ってください。

メニュー、もしくはボタンから
WireShark を使ったトレース_a0056607_17444367.jpg


必ず I/F にチェックを入れます。ここでは LAN 用アダプタにチェックを入れました。
WireShark を使ったトレース_a0056607_17474966.jpg


特定のアドレスをモニタしたい場合
WireShark を使ったトレース_a0056607_17515484.jpg


Filter 欄に ip.adder == xx.xx.xx.xx を入れて必ず[Apply] <-- よく忘れます。

スタートボタンを押します。
WireShark を使ったトレース_a0056607_17544263.jpg


Ping しただけですが、このように表示されます。
WireShark を使ったトレース_a0056607_180036.jpg


いつまでもキャプチャを続けているとバッファオーバーフローしますから Stop ボタンを押します。
WireShark を使ったトレース_a0056607_1823636.jpg


もう一度キャプチャをはじめようとすると ”保存しなくていいの?”というダイアログが出ます。決定的な証拠が見つかったら保存します。決定的でなければ Save しないで次のキャプチャをします。

WireShark を使ったトレース_a0056607_1835925.jpg


簡単な例ですが、自分自身が正しくDNSに問い合わせをしているか確認します。
Filter 欄に "DNS and ip.adder==xx.xx.xx.xx(自分のIP)" をセットしてキャプチャしました。必ず条件( Fileter ) を設定した後 Apply を押してください。
WireShark を使ったトレース_a0056607_1817215.jpg


もう少しフィルタの高度な使い方を調べたい場合はこちらのサイトをご参考ください。

Wiresharkで特定の相手との通信だけを表示させる @markIT

Wiresharkで特定のプロトコルだけを表示させる@markIT

WIRESHARK(ワイアシャーク) 個人のサイトですが非常に詳しいです。

-よくやるドジ-

- I/Fを選んでいない
- Filter を変更して Apply を押していない。

以上2点です。

--
一応 Linux 版もリリースされていますし、ソースもあるのですが、依存関係があるので、あまりお勧めできません。 Linux には通常 tcpdump というコマンドがあるので、こちらをつかうのが良いでしょう。

islandcenter.jp
by islandcenter | 2012-07-12 17:56 | プライベートクラウド | Comments(0)