Wiresharkとは？基本的な使い方から便利な機能まで徹底解説

Wiresharkというツールについて興味があるものの、

・どのような機能があるか分からない…。
・導入方法や使い方が分からない…。

という方も多いのではないでしょうか。そこでこの記事では、

・Wiresharkでできること
・Wiresharkの基本的な使い方や便利な機能

についてご紹介します。

Wiresharkとは？

Wiresharkとは、LAN（ローカルエリアネットワーク）を通じたデータ通信について、特定のデバイスに流れているトラフィックの情報量などを可視化できるパケットキャプチャツールです。Wiresharkはオープンソースで提供されているツールのため、誰でも無料で使うことができます。

Windowsだけでなく、macOSやLinux、UNIX系OSであるBSDなど、幅広いプラットフォームで利用できる点が特徴です。

Wiresharkでできること

Wiresharkには、パケットキャプチャの機能だけでなく、取得したデータについて様々な観点から分析できる機能も備わっています。

データセキュリティの専門知識がない人でも、Wiresharkを利用することで、ネットワークが不審な情報通信に利用されているかどうか解析できます。不正利用されている場合は原因を特定し、改善することが可能です。

ネットワークエンジニアの場合、開発時のデバッグ作業にWiresharkを活用できます。

Wiresharkの基本的な使い方

Wiresharkは、PCにインストールして利用するソフトウェアです。ここでは、Wiresharkのインストール方法と基本的な使い方について解説します。

インストール方法

まずは、Wiresharkの公式サイトにアクセスし、利用したいOSに合うインストーラーをダウンロードしましょう。今回は、Windowsの64ビット版に対応した、バージョン4.2.2のWiresharkを使って解説をします。

データのダウンロードが完了したら、インストーラーを実行し、画面に表示される指示通りにインストールを進めます。

過去に、古いバージョンのWiresharkを使ったことがある場合は、アンインストールしてから最新のバージョンをインストールしましょう。

パケット取得の方法【パケットキャプチャ】

インストールが完了したら、Wiresharkを起動します。

起動時の画面には、デフォルトの状態でいくつかのネットワークインターフェイスが表示されています。パケットキャプチャを行いたいインターフェイスを右クリックし、「キャプチャを開始する」を選択しましょう。

画面表示が切り替わり、キャプチャを停止するまでリアルタイムでIPアドレスや情報量などのデータが表示されます。

データの取得を停止する時は、画面上部の「キャプチャ」メニューから「停止」を選択、または左上にある停止ボタンをクリックします。

取得したリストを見やすくする方法【フィルタ機能】

デフォルトの状態では、指定したネットワークインターフェイスを流れる全てのデータが表示されてしまいます。特定のデータに限定してパケットキャプチャを行いたい場合、ターゲットを決めて表示内容を絞り込める「表示フィルタ」の機能を使いましょう。

表示フィルタは、Wiresharkの画面上部にある「表示フィルタ …<Ctrl-/>を適用」と書かれた入力欄から指定できます。

例えば、プロトコルが「TCP」のパケットだけを表示したい場合は、表示フィルタの欄に「TCP」と入力します。途中まで入力すると候補が表示されるため、フィルタリングの条件を簡単に指定することが可能です。

特定のIPアドレスが送信元や宛先になっているパケットを表示したい場合は、次のような指定を行います。

表示フィルタ機能では、次のような論理演算子による指定が可能です。

論理演算子	機能
= =	条件に一致するものを指定する
!=	条件に一致しないものを指定する
&&	複数の条件を「かつ」でつなぐ
||	複数の条件を「または」でつなぐ

例えば、プロトコルがTCPで、かつ送信元か宛先のIPアドレスが特定の値のパケットを指定するフィルタの書き方は下記の通りです。

キャプチャ開始時にフィルタ機能を設定しておくと、予め指定した条件にあてはまるパケットのみを対象としてデータを取得できます。

キャプチャした内容を読み解く【分析・統計機能】

Wiresharkの上部メニューにある「統計」の機能では、通信ネットワーク上で発生している事象についての統計情報が確認できます。

例えば、「プロトコル階層」の機能では、プロトコル別にパケット数の割合を解析することが可能です。どのプロトコルがトラフィックの大部分を占めているかの特定に役立ちます。

「入出力グラフ」は、時間ごとにキャプチャされたパケット数やバイト数をグラフとして可視化できます。

「分析」の項目では、表示フィルタの設定など、通信内容を分析する機能が利用できます。

「追跡」機能を利用すると、プロトコルに応じた通信内容について、指定したパケットを追跡することが可能です。

Wiresharkの便利機能

Wiresharkには、これまでに紹介した基本機能のほかにも便利な機能があります。主な便利機能の使い方は次の通りです。

パケットの色分け

Wiresharkでキャプチャしたパケットは、種類や通信内容ごとに自動で色分けされます。

色分けの仕方を指定したい場合は、画面上部の「表示」から「色付けルール」を選択すると、設定の変更が可能です。

必要がない場合は、色付けを無効にしておくと、パケットに関するデータをより早く表示できるようになります。

列の設定

パケットのリストが表示される表は、列を編集して見やすくすることが可能です。マルウェアの感染トラフィックを特定するなど、分析したい内容に応じてデフォルトの設定から変更できます。

各列の項目が書かれている部分を右クリックし、「列の設定」を選択します。

設定画面から、列の追加や削除、表示の切り替えなどが可能です。

列の設定画面にない種類の列は、「カスタム列追加機能」で追加できます。リスト上から列に加えたいパケットを右クリックし、「列として適用」を選択しましょう。

パケットリストに新たな列が追加されました。

キャプチャの保存

Wiresharkでキャプチャしたパケットに関するデータは、「ファイル」から「保存」を選択すると保存できます。

保存したファイルをWiresharkで開くと、いつでもデータの内容を確認し、分析を続けることが可能です。

Wiresharkを活用してネットワークを効率よく監視しよう

Wiresharkはネットワーク上を流れているパケットを可視化できるツールです。ネットワークインターフェイスを指定して特定の条件に合致するパケットを取得したり、データの内容を分析したりする機能が備わっています。

Wiresharkの使い方を理解して、ネットワークの利用状況の確認や開発時のデバックに活用しましょう！

Wiresharkやパケットキャプチャに関する詳しい内容は、下記の講座で学べます。

評価：★★★★
内容：初級者レベルとなっており、簡単だと思って見てみましたが、特にセクション7はSELKS等知らないこともあり、実際に動作させて確認もでき大変有用でした。

Wiresharkを活用して学んでネットワークセキュリティを強化しましょう！