Wiresharkで特定の通信セッションだけを抽出して表示する：Tech TIPS

Wiresharkで特定のTCPセッションの内容だけを取り出して表示させるには、「Follow TCP Stream」機能を使えばよい。指定されたTCPパケットが含まれるセッションが抽出され、そのデータ部分が表示される。特定のUDPやSSLのセッションだけを取り出すこともできる。

» 2008年07月11日 05時00分公開

[打越浩幸，デジタルアドバンテージ]

連載目次

対象ソフトウェア：Wireshark

Wiresharkで特定のTCP／UDPセッションだけを抽出して表示したい！

　Tech TIPS「Wiresharkでネットワークプロトコルを解析する（基本操作編）」では、フリーの高機能なネットワークプロトコルアナライザ、Wiresharkの基本的な使い方について解説した。

　本Tech TIPSでは、もう少し進んだ使い方として、特定のTCP／UDPセッションだけを抽出して表示する方法を紹介する。この機能を使わないと、非常に多くの通信が表示され、目的のパケットを見つけ、トラブルシューティングするのが困難になるからだ。

　Windows Serverなどで利用できるネットワークモニタツールにおける表示フィルタの使用方法については、以下の記事を参照していただきたい。

Wiresharkで特定の通信セッションだけを抽出して表示するには

　特定の通信セッションの内容だけを抽出するには、「Follow TCP Stream」や「Follow UDP Stream」「Follow SSL Stream」という機能を使えばよい。

　Follow TCP Streamとは、指定したパケットに関連する通信内容（TCPセッション）だけを取り出して表示する機能である（Follow UDP StreamやFollow SSL Stream機能もある）。

　例えば、あるWebサーバへアクセスしているパケットがいくつかキャプチャできた場合、そのうちのどれか1つを選択して右クリックし、ポップアップメニューから［Follow TCP Stream］という項目を選択する。すると、そのTCPセッションの内容（同じIPアドレス、ポート番号を持つ、一連のTCPパケットの内容）だけが抽出され、その内容が表示される。

特定のTCPセッションの内容の表示（1）
Follow TCP StreamやFollow UDP Stream、Follow SSL Stream機能を使うと、特定のTCPセッションなどだけを簡単に抽出して、表示できる。
　 （1）セッションを確認したいパケットのうちの1つを選択する。必ずしも、セッション開始のパケットでなくてもよい。
　 （2）これを選択する。

　この機能を使う場合は、必ずしもセッションの最初のパケット（TCPならば、最初のSYNを送信しているパケット）でなくてもよい。どれか1つのパケットを指定すれば、同じIPアドレス、TCPポートを持つパケットが自動的に抽出される。

　TCPの基礎などについては、連載「基礎から学ぶWindowsネットワーク」の「第14回信頼性のある通信を実現するTCPプロトコル」」を参照していただきたい。

　これを実行すると、次のようなダイアログが表示される。

特定のTCPセッションの内容の表示（2）
指定されたパケットに関するTCPセッションのデータが表示されている。
　 （1）表示用フィルタの条件式が設定され、該当するセッションのパケットのみが表示される。
　 （2）TCPセッションの内容（通信内容のデータ）。この場合はHTTPプロトコルであったので、Webサーバとの通信内容が表示されている。
　 （3）セッションの大まかなサイズ。保存することもできる。

　この画面では、指定されたTCPパケットに関するセッションの最初から最後まで（SYNパケットを送信してセッションが開始されたところから、最後にクローズされるまで）を追跡し、可能ならその内容が解析して表示されている。

　この場合は、HTTPプロトコル（WebサーバとWebブラウザ間の通信プロトコル）であったので、そのHTTPの通信内容（HTTPのGETコマンドから始まり、その後の応答などのやり取り）が表示されている。主に文字コードでやり取りされるようなプロトコルの解析に非常に役に立つ機能である。

　同様に「Follow UDP Stream」「Follow SSL Stream」を使えば、それぞれのセッションの内容だけを取り出すことができる。

■この記事と関連性の高い別の記事