Wireshark

特定のパケットを見つけるには、command + F でパケットの検索ボックスを表示させます。

オプションを選択し、テキストボックスに検索する文字列を入力して、[Find] ボタンをクリックすれば、条件に一致するパケットが表示されます。

パケットのマーキング

検索したパケットに、マーキングしておくことができます。マーキングされたパケットは黒地に白文字になり目立たせることができます。

パケットをマーキングするには、パケット一覧のペインでパケットを選択し、command + M でマーキングできます。command + M をもう一度押せばマーキングを解除することができます。

キャプチャファイルの保存とエクスポート

パケット解析は、パケットキャプチャと同時にできるわけではありません。通常、パケットをキャプチャして、保存して、それから解析を開始します。そのため、Wireshark にはキャプチャしたパケットをキャプチャファイルとして保存する機能があります。

キャプチャファイルの保存

キャプチャしたパケットを保存するには、shift + command + S を押します。Save file as タイアログボックスが表示されたら、キャプチャファイルを保存する場所とファイル形式を選択します。何も指定しないと、.pcapng形式で保存されます。

時間の表示フォーマットと相対時間表示

パケット解析において、時間は重要な要素です。解析する際は、通信にかかる時間とその傾向を調べる必要があります。Wireshrk は時間の重要性を認識して、いくつかのオプションが提供されています。

時間の表示

デフォルトでは，キャプチャ開始からの秒数が表示されています。[View] - [Time Display Format]で変更することができます。

相対時間表示

相対的な時間を表示するには、パケット一覧のペインから基準となるパケットを選択し、command + T を押します。または [Edit] - [Set/Unset Time Reference] を選択します。もう一度同じ動作を繰り返せば、基準を解除することができます。

相対的な時間を表示するよう設定すると、時間の基準となったパケットの時間の部分に *REF* と表示されます。

相対的な時間の表示は、時間の表示フォーマットを [Seconds Since Beginning of Capture]（キャプチャを開始してからの経過時間）にしておかないと意味がありません。

フィルタ

演算子

比較演算子を使うことで，パケットを比較することができます。

さらに，論理演算子を使えば，複数のフィルタを1つの表現として使用することができます。

例えば，192.168.0.1 または 192.168.0.2 というIPアドレスを含むパケットを見たい場合は，ip.addr == 192.168.0.1 or ip.addr == 192.168.0.2 というフィルタを使います。Wiresharkでは，and，or，xor，not を論理演算子として使うことができます。

フィルタのサンプル

プロトコルの分析

TCPストリームの表示

パケットを統合し，エンドユーザーが使用しているアプリケーションが受け取るデータの形にして表示する機能です。

TCPストリームを表示するには，パケットを右クリックして，[Follow TCP Stream] を選択します。すると，TCPストリームのウィンドウが表示されます。

エンドポイントを見る

ネットワーク上の対話

メインメニューの [Statistics]（統計）から [Conversations] を選ぶと，[Conversations] ダイアログボックスが表示されます。[Conversations] ダイアログには，2つのポイントをアドレスA，アドレスBとし，それぞれが送受信したパケット数やバイト数が表示されます。

IO Graphs ウィンドウ

トラフィックの傾向を見極めるもっともよい方法は、それをグラフにしてみることです。Wireshark では IO Graphs ウィンドウで送受信されているデータのグラフを見ることができます。このグラフでは各プロトコルのスループットを見て、ネットワークの動静を確認することができます。