2.6.2 Wiresharkの起動と設定

Wireshark を立ち上げたら、最初に設定をします。

以下のように、 メニューの Edit の中の Preferences を選びます。

すると以下のように初期設定のためのメニューが立ち上がります。

この中の Capture メニューの中で、まずインターフェースを 選択します(この例では、Intelのチップセットを選んでいますが、 自分のPCに搭載されているものを選んでください。複数ある場合には 主なものを選んでおけば、実際にキャプチャするときに変更は出来ます)。 次に、 promiscuous mode をオフにすると自分に関係のないパケットはキャプチャ しません(通常必要ありませんので、オフにしておきましょう)。次に、 Update list をチェックすると、パケットをキャプチャしたその瞬間に 表示が行われます。もし、チェックしていないとパケットキャプチャを 停止するまで表示が一切行われません。大量のパケットを短時間にキャプチャ するのでない限り、Update list はチェックしておいて構わないでしょう。 次に、Automatic scrolling もキャプチャしている際の動作設定で、これを 入れておくと、自動的に最も新しいパケットが表示されるようにスクロール しまう。最後に、Apply して、OK するのを忘れないようにして下さい。

さて、実際にキャプチャを始める前に、スイッチドネットワークか、自宅に いることを確認し、次に自分のマシンのIPアドレスをチェックします。 WindowsでのIPアドレスの確認はNT,2000,XPならばコマンドプロンプトを出して その中で、ipconfig /allを実行します。

\epsfile{file=ipconfig,scale=0.5}

自分のIPアドレスを確認したら、いよいよパケットをキャプチャします。 まず、Wireshark のメニュー Capture から Options を実行します。

\epsfile{file=ws-menu-option,scale=0.5}

すると、 次のようなウィンドウが現れます。 もし、インターフェースなどが異なっている場合にはここで指定 することも出来ます。

このまま、Start を押して、キャプチャをしても良いのですが(単に Startを押すだけなら、メニューのCaptureのStartでも同じです)、 このままでは必要のないパケットもキャプチャして見難くなるので、 以下のように必要のないものをキャプチャしないように設定します。

Capture Filter の右横のテキストボックスに先に調べた自分のIP を使って、 host 192.168.0.1 のように設定をします。 これは、自分宛か あるいは自分が発信したか、いずれかに一致するパケットをキャプチャする と言う意味です。このように Filter に指定した式で必要なパケットのみを キャプチャすることが出来ますが、詳しくはプロトコルについての知識が 必要です。今のところは、以下のパターンのみを知っていれば良いでしょう。

host 192.168.0.1 and host 192.168.0.2

上記の場合には、192.168.0.1 と 192.168.0.2 の間で交換されるパケットのみ に一致します(and は host 192.68.0.1 という条件と、 host 192.168.0.2 という条件が同時に満たされるという意味です)。

一方、以下の例では、192.168.0.1 か、または192.168.0.2 に関係するパケット のみがキャプチャされます。

host 192.168.0.1 or host 192.168.0.2

これは、192.168.0.1 から255.255.255.255 にブロードキャストされたパケット などにも一致します。

さて、先の host [my IP] というフィルタでStartボタンを押すと、キャプチャが 始まりますが、当然何も通信していないと何も表示されません。そこで、 ブラウザで適当なサーバへとアクセスしてみましょう。 (何時までもキャプチャしても仕方ないので、一通りページが表示されたら Stop ボタンを押してキャプチャを停止させておきましょう。)

\epsfile{file=ethereal-capture,scale=0.3}



Noriyo Kanayama