Ethereal を立ち上げたら、最初に以下のように設定しておきます。
Edit -> Preferences から設定ダイアログを開き、Capture タブで まず以下の設定をします。 promiscuous mode をオフにすると自分に関係のないパケットはキャプチャ しません(通常必要ありませんので、オフにしておきましょう)。次に、 Update list をチェックすると、パケットをキャプチャしたその瞬間に 表示が行われます。もし、チェックしていないとパケットキャプチャを 停止するまで表示が一切行われません。大量のパケットを短時間にキャプチャ するのでない限り、Update list はチェックしておいて構わないでしょう。 次に、Automatic scrolling もキャプチャしている際の動作設定で、これを 入れておくと、自動的に最も新しいパケットが表示されるようにスクロール しまう。最後に、Apply して、Save するのを忘れないようにして下さい。
次に、デフォルトではキャプチャしたIPアドレスをDNSを使って名前(FQDN)に 変換しようとする。必要がない限りは切っておいた方が動作が軽くなる。
次に、いよいよパケットをキャプチャします。 まず、Ethereal のメニュー Capture から Start を実行します。 すると、 次のようなウィンドウが現れます。
Filter の右横のテキストボックスに先に調べた自分のIP を使って、
host 192.168.0.1 のようにここでは設定をしています。
tcpdumpのプリミティブ式と同じ式がここに指定できますので、
必要なパケットのみを
キャプチャすることが出来ますが、詳しくはプロトコルについての知識が
必要です。
最も単純な使い方は2点間の監視です。
| host 192.168.0.1 and host 192.168.0.2 |
上記の場合には、192.168.0.1 と 192.168.0.2 の間で交換されるパケットのみ
に一致します(and は host 192.68.0.1 という条件と、
host 192.168.0.2 という条件が同時に満たされるという意味です)。
一方、以下の例では、192.168.0.1 か、または192.168.0.2 に関係するパケット のみがキャプチャされます。
| host 192.168.0.1 or host 192.168.0.2 |
これは、192.168.0.1 から255.255.255.255 にブロードキャストされたパケット などにも一致します。
さて、先の host [my IP] というフィルタでstartボタンを押すと、キャプチャが 始まりますが、当然何も通信していないと何も表示されません。そこで、 ブラウザで適当なサーバへとアクセスしてみましょう。 (何時までもキャプチャしても仕方ないので、一通りページが表示されたら Stop ボタンを押してキャプチャを停止させておきましょう。)
