第1回 消えたスイッチと2本のケーブル

草場 英仁
三井物産セキュアディレクション株式会社
ビジネスデベロップメント部　主席研究員
2008/3/13

　斉藤君の独り言Tips

　あ、キャプチャを開始する前にきちんと前準備を行わないといけませんね。Wiresharkを起動する前に、PCの時計と手元の時計の時刻を合わせます。ケーブルを抜き差ししたり何かのタイミングでアクションを起こすとき、起こした時刻をメモしておくとキャプチャと比較が容易になりますので時刻はきちんと合わせます。

　さて、Wireshark本体の設定です。まず、［Capture］→［Options］を選択し、以下の画面のように設定します。

・Capture

　「Interface」は、実際に使用しているNICを選択します。Windowsの場合はデバイスマネージャを、UNIXやLinuxの場合はifconfigコマンドなどを使って確認できます。

　よく分からない場合、［Capture］→［Interfaces］を選択し、ケーブルが刺さっているNICのIPアドレスや流れるパケットの総数（Packets）を見て、実際に使用しているNICを選択してみてください。もちろん、これは実際にケーブルを指す前に別の環境にてやっておいてくださいね。

　モードはプロミスキャスモード（Capture packets in promiscuous mode）を選択します。これを選択しないと自分あてにきたパケットしか取得できません。

・Capture File(s)

　Captureを実行する前に、保存ファイルを決めておきます。ファイルの容量が気になる場合は、［Use multiple files］にチェックを入れて、どのようにファイルを分割するかというポリシーを設定します。

・Stop Capture

　キャプチャを止めるポリシーを設定します。

・Display Options

　リアルタイムでキャプチャを表示したいときは［Update list of packets in real time］にチェックを入れてください。今回は初期解析なので慎重を期してリアルタイム解析はやらない方向とします。

　PCの環境にもよりますが、リアルタイムキャプチャ表示の処理は重くなりがちです。原因不明なトラブルを解析する場合、大量のパケットが流れている場合がありますのでリアルタイムキャプチャは避けた方がよさそうです。

　また、［Automatic scrolling in live capture］にチェックを入れるとパケットを取得しながら画面がスクロールし、常に新しいキャプチャ状況を見ることができます。何か決まったプロトコルなどの解析で順を追ってみたい場合や、いつ発生したかといった動作を解析する場合にとても有効なオプションです。

　［Hide capture info dialog］はキャプチャ中のダイアログを抑制できます。

・Name Resolution

　名前解決を設定するところです。どのオプションもパフォーマンス低下につながりますので、重要な解析を行うときほどチェックを入れたくないところです。

　［Enable MAC name resolution］にチェックを入れると、MACアドレスの先頭ビットより製造ベンダ名を割り出し表示します。

　［Enable network name resolution］では、DNSを引いてIPアドレスから名前を解決します。しかし最もパフォーマンスが落ちます。

　［Enable transport name resolution］では、ポート名からサービス名を表示します。こちらもパフォーマンスが重くなりますが、結果が大変見やすくなりますので今回はチェックすることにしましょう。

　設定が終わったところで解析に入りましょう。今回は後で解析するために、 pcapファイルを保存しながらキャプチャすることにします。状況を再現するために、別セグメントの端末へpingを飛ばして観察します。

2/4

Index
消えたスイッチと2本のケーブル
	Page1 PCが全部ネットにつながらないんだけど！ 格好いいところを見せなくちゃ
	Page2 斉藤君の独り言Tips
	Page3 うわ、なんだ！このすごい量は スイッチはどこへ消えた？
	Page4 犯人はあなただ！ 適切にスパニングツリーを設定すべし

Wiresharkでトラブルハック 連載インデックス

＠ITメールマガジン　新着情報やスタッフのコラムがメールで届きます（無料）