はじめての「パケットキャプチャ」入門

一般的に、パケットキャプチャとは、WireSharkやtcpdumpなどソフトウェアツールを使ってネットワーク上を流れるパケットを収集することを言います。

ネットワークを流れるパケットをキャプチャすることで、クライアントやサーバなど各種装置の挙動を推測することができます。たとえば、使っているプロトコルの種類、接続方法、接続先やポート番号、送受信のデータサイズ、どちらが切断したかなどです。

ネットワークは、スイッチ、ルータなどネットワーク機器が接続されて構成されています。パケットのロストや遅延、コネクションの切断などの異常が発生した場合、ネットワークの途中で、パケットキャプチャを取得することで、どこのネットワーク機器で問題が発生しているのかを特定します。

故障であれば、ネットワーク機器を交換したり、帯域不足であれば、高性能のネットワーク機器に交換するか、帯域に余裕があるネットワーク機器へと接続を変更するような対策を取ります。

■　パケットキャプチャの原理

パケットキャプチャは、イーサネットアダプタのMACに備わる「プロミスキャスト」機能を使って実現されています。

プロミスキャストとはLANのインタフェースを使って、つながっているネットワーク上に流れるすべてのパケットを受信する機能です。自分自身が送受信するパケットだけではなく、ネットワークにつながった他の機器が送受信するパケットも受信することができます。

これによって、WireSharkやtcpdumpなどソフトウェアツールは、つながったネットワーク上を流れるパケットをすべて取得することができます。

■　取得方法

まず、WireSharkをPCにインストールします。

> sudo apt install wireshark

(*)Windows版は以下からインストーラをダウンロードします。

　https://www.wireshark.org/download.html


パケットキャプチャを取得するには、以下のように接続します。

WireSharkをインストールしたPCを、リピータHUB（いわゆるバカHUB）を使って接続するか、スイッチングHUBのミラポートに接続します。

スイッチングHUBは、通常のポートに接続すると、接続されたポート以外のパケットは流れないので、パケットキャプチャをしても、自分自身のパケットしか取得できません。
その代わり、ミラーポートに接続すればすべてのポートに流れるパケットを取得できます。ミラーポートは、物理的に別のポートとして用意されている場合もありますが、コマンドを使って通常のポートをミラーポートに設定することができます。

PC上でWireSharkを起動します。（Ubuntu）

　> sudo wireshark

LANのインタフェースを選択し、開始（左上隅のヒレのかたちのボタン）をクリックします。

そうすると、取得されたパケットが表示されます。

・時刻の表示形式を変更する場合、表示→時刻表示形式から選択します。
・中断するには、停止ボタン（左上隅の赤いボタン）をクリックします。
　中断後、取得したパケットキャプチャは、ファイル→保存からファイル（PCAP形式）として保存できます。

■　フィルタリング

パケットキャプチャは、すべての種類のパケットを取得しますが、その中から特定のパケットの種類だけに絞り込みたいときがあります。たとえば、HTTPだけ、TCPだけ、IPだけ、Enernetだけなどです。それらに加えてよく使うのは、アドレス、ポートでのフィルタリングです。

その場合、WireSharkのフィルタリング機能を使います。

フィルタリングの指定は、WireShark独自の文法があります。
以下に、主なフィルタリング設定の例を示します。

■　ログの見方

WireSharkのキャプチャ画面の見方を説明します。
まず、各パケットの詳細は、パケット一覧の画面からパケットを選択し、ダブルクリックすることで表示することができます。

プロトコル毎のパケット詳細の見方を以下に示します。

Ethernet

 IP

TCP

HTTP

■　まとめ

パケットキャプチャの取得することで、表面的には見えなかったアプリケーションやサーバの挙動を知ることができます。

また、ネットワーク障害を解析する歳に、まず最初にすべきことはパケットキャプチャを取得し、現状を分析することが必要となります。

パケットキャプチャを見ることは、いまやソフトウェアがネットワーク接続が前提であることを考えると常識と言えます。