Wiresharkで特定のホスト/IPアドレスとの通信を覗く。
Wireshark はネットワークアナライザー(別名:パケットアナライザー、プロトコルアナライザー、ネットワークスニファー、等々)の代表格とも言えるソフトウェアで、大昔は Ethereal という名前でした。
Web サイトのトップページ、シンプルで格好良いですね。
クリスチャン・ラッセンの絵をシンプルにした様な感じに見えます。
トップページにある「Download」をクリックすると、ダウンロードページが表示されます。
2016年2月11日時点の最新版は「2.0.1」のようです。
自分は「Windows Installer (64-bit)」をクリックして、「Wireshark-win64-2.0.1.exe」をダウンロードしました。
インストールの手順は省きますが、「Wireshark-win64-2.0.1.exe」を実行してインストールウィザードの指示に従えば、デスクトップに「Wireshark」と「Wireshark Legacy」という2つのショートカットが作成されると思います。
それぞれ「Wireshark.exe」と「Wireshark-gtk.exe」を指しています。
「Wireshark Legacy」の方は実行してもらえば分かるかと思いますが、見た目が「1.*.*」版の頃と同じ感じになっています。
まあ、折角なので、今回は「Wireshark」の方の使用例を記載します。
「Wireshark」のショートカットをダブルクリックして Wireshark を起動します。
もしショートカットが見つからなければ、"C:\Program Files\Wireshark\Wireshark.exe"とかを直接実行するしかないですね。
Wireshark が起動すると、中央下部の「Capture」欄にインタフェースの一覧が表示されるので、覗き見したいインタフェース(この例では「イーサネット」)を選択して、左上の「Start」ボタンを押します。
すると、直ちにネットワークトラフィックを捕捉したログが大量に出力されます。
左上の「Stop」ボタンを押せば、ログ出力を停止することができます。
そして、その下にある赤枠で囲った部分が、表示フィルター用のボックスです。
例えば、「182.22.71.234」というIPアドレスとの通信ログだけに表示を絞り込みたい場合、以下の様に入力します。
ip.src == 182.22.71.234 || ip.dst == 182.22.71.234
また、「182.22.*.*」のIPアドレスとの通信ログだけを表示したい場合、サブネットマスクを使います。
ip.src == 182.22.0.0/16 || ip.dst == 182.22.0.0/16
一方、「192.168.1.4」というIPアドレスとの通信ログを表示から除外したい場合、これでできます。
ip.src != 192.168.1.4 && ip.dst != 192.168.1.4
更に、IPアドレスの代わりにホスト名の一部(ここでは"dropbox")を指定して表示を絞り込みたい場合、こんな感じでできます。
ip.src_host matches "dropbox" || ip.dst_host matches "dropbox"