WIRESHARK達人への道 第二十三歩 色付けルールを活用して、分析を効率化しよう
本連載は、筆者がWiresharkの達人となるまでを追うドキュメンタリー作品である。
人間の記憶力には限界があり、そのサポートをしてくれるのが標識や色であったりします。
Wiresharkにもフィルタごとに色付けルールを設定することができ、特定プロトコルの解析に大いに役だってくれます。
今回はTCPの3ウェイハンドシェイクに色付けをし、TCPの開始が一目で分かるように設定してみましょう!
3ウェイハンドシェイクについては、筆者も大変おせわになっているネットワークエンジニアとしてのTCP/IP – TCP three-way handshakingをご一読ください。
Wiresharkで3ウェイハンドシェイクのフィルタを作成するには、図1のコードビットのフラグに注目すればよいです。
つまり、フィルタは以下3種類を設定すればよさそうです。
| SYN | SYN=1 かつ ACK=0で、他の制御フラグは0 |
| SYN+ACK | SYN=1かつACK=1で、他の制御フラグは0 |
| ACK | SYN=0かつACK=1で、他の制御フラグは0 |
これをフィルタで表現すると、表2となります。
| SYN | tcp.flags == 0x002 |
| SYN+ACK | tcp.flags == 0x012 |
| ACK | tcp.flags == 0x010 |
実際に色付けルールを設定するには、Wiresharkメニューの表示(V)→色付けルール…(C)を選択し、表2の設定を追加。好きな色を選択してください。
図2では、SYNに黄色、SYN+ACKに緑、ACKに青を設定しました。テキストの色も背景にかぶらないように色付けしてください。
図3が色付けルール設定後に、pcapファイルを開いた様子です。
綺麗にSYN→SYN+ACK→ACKとなっているのが分かります。
プロトコルスタックや通信アプリケーション開発時のデバックにおおいに役立ってくれると思います。
(Visited 1,796 times, 1 visits today)
The following two tabs change content below.
【好きなもの】
インフラ技術が好き。古いものが好き。
【生きてきたフィールド】
システム運用、ソフトウェア開発、ミドルウェア検証、OSSサポート、プリセールスエンジニア、プロジェクトマネジメント
【このサイトでの役割】
サイト管理者。
最新記事 by 伊集院 (全て見る)
- 【暗号化通信(TLS)を復元できる】WIRESHARK達人への道 第二十五歩 暗号化通信(TLS)を復号する方法 - 1月 1, 2023
- 【詳細版】NSM(ネットワークセキュリティモニタ)、Zeekとは? - 9月 1, 2022
- 【簡易版】OSSネットワークセキュリティモニタZeekとは? - 8月 26, 2022