WIRESHARK達人への道 第二十三歩 色付けルールを活用して、分析を効率化しよう

本連載は、筆者がWiresharkの達人となるまでを追うドキュメンタリー作品である。

人間の記憶力には限界があり、そのサポートをしてくれるのが標識や色であったりします。

Wiresharkにもフィルタごとに色付けルールを設定することができ、特定プロトコルの解析に大いに役だってくれます。

今回はTCPの3ウェイハンドシェイクに色付けをし、TCPの開始が一目で分かるように設定してみましょう!

3ウェイハンドシェイクについては、筆者も大変おせわになっているネットワークエンジニアとしてのTCP/IP – TCP three-way handshakingをご一読ください。

Wiresharkで3ウェイハンドシェイクのフィルタを作成するには、図1のコードビットのフラグに注目すればよいです。

図1 Wiresharkで表示したコードビットの様子

つまり、フィルタは以下3種類を設定すればよさそうです。

SYNSYN=1 かつ ACK=0で、他の制御フラグは0
SYN+ACKSYN=1かつACK=1で、他の制御フラグは0
ACKSYN=0かつACK=1で、他の制御フラグは0
表1 3ウェイハンドシェイクのコードビット値

これをフィルタで表現すると、表2となります。

SYNtcp.flags == 0x002
SYN+ACKtcp.flags == 0x012
ACKtcp.flags == 0x010
表2 3ウェイハンドシェイクのフィルタ

実際に色付けルールを設定するには、Wiresharkメニューの表示(V)→色付けルール…(C)を選択し、表2の設定を追加。好きな色を選択してください。

図2 3ウェイハンドシェイクに色付けルールを設定した様子

図2では、SYNに黄色、SYN+ACKに緑、ACKに青を設定しました。テキストの色も背景にかぶらないように色付けしてください。

図3 3ウェイハンドシェイクの色付け

図3が色付けルール設定後に、pcapファイルを開いた様子です。

綺麗にSYN→SYN+ACK→ACKとなっているのが分かります。

プロトコルスタックや通信アプリケーション開発時のデバックにおおいに役立ってくれると思います。

(Visited 1,812 times, 1 visits today)
The following two tabs change content below.
【好きなもの】 インフラ技術が好き。古いものが好き。 【生きてきたフィールド】 システム運用、ソフトウェア開発、ミドルウェア検証、OSSサポート、プリセールスエンジニア、プロジェクトマネジメント 【このサイトでの役割】 サイト管理者。