現役ペンテスト技術者が選ぶ使えるセキュリティツール(23)　ただのパケットモニタリングツールではない　−Wireshark(1)

　このコーナーでは、現役のペネトレーションテスト技術者が、使えるセキュリティツールを、ペンテストの現場の視点から紹介します。

特集特集

2008年7月31日（木） 16時45分

　このコーナーでは、現役のペネトレーションテスト技術者が、使えるセキュリティツールを、ペンテストの現場の視点から紹介します。

◆名称： Wireshark
◆配布制限：フリーウェア
◆商用版の有無：無
◆類似ツール： Packetyzer
◆DL URL： http://www.wireshark.org/
◆対応OS： Windows系OS、Unix系OS、OSX
◆分野：ネットワークプロトコル分析
◆コマンド一覧：

(1) 基本項目と概要

　前回は、パケットモニタリングの王道「tcpdump」を紹介させていただいた。今回紹介する「Wireshark」は単独でも使えるツールではるが、「tcpdump」と非常に相性のよいツールである。

　この「Wireshark」だがソフトの名称が一度変更されている。変更される以前は「Ethereal」という名前で愛されてきたツールである。Webで情報を検索する際、現在は、この名前のほうがヒット数が多いため調べモノの際には旧名称で検索することをお勧めする。
（「ethereal」での検索結果　約 11,100,000 件
　「wireshark」の検索結果約 1,650,000 ）

　さて、この「Wireshark」、「分野」としては「ネットワークプロトコル分析」と書かせていただいた。これは、冒頭でも述べた通り単独でも相当使えるツールで、パケットモニタリングを行うこともできるのだが、「tcpdump」がCUIであることに対し、GUIの強みを活かした分析機能を持ち、開発本家がパケットスニッファ、パケットキャプチャという名称ではなく、「network protocol analyzer」と呼称しているためである。

(2)コマンドサンプル

　それでは、早速動かしてみよう。
（Windowsで動作させる場合「Winpcap」などの「Wireshark」の動作に必要なものは、Windows用インストーラに付属している。）

　まずは、最も基本的な部分として、パケットキャプチャの開始方法を紹介する。

　「Wireshark」を起動したら、メニューの「Capture」から「Options」を選択するとキャプチャに関する設定を行うウインドウが表示される。

図1:キャプチャに関する設定を行うウインドウ
https://www.netsecurity.ne.jp/images/article/ws-options.jpg

　ここでは、どのNICへのパケットをキャプチャするか、その表示方法、フィルタ条件などを指定することができる。

　とりあえず、キャプチャを開始するだけであれば、どのNICでキャプチャするかの設定箇所である、「Interface」を設定するだけでよいだろう。

　好みの問題としては、「Display Options」（表示方法）や「Name Resolution」（名前解決）、「StopCapture」（保存する期間やサイズの制限）などを適宜設定するとよいだろう。また、表示されるパケットが多い中で目的のパケットのみを表示したいということであれば、「CaptureFilter」を利用するという手もある。もちろん、フィルタに関してはキャプチャ中、キャプチャ後でも可能であるため、まずは、様子見をしてからというのも一つの方法だろう。

　ちなみに筆者の場合は、リアルタイムに見る機会が多いため、「Display Option」の「Update list of packetsin real time」をオンにし、キャプチャされる度にスクロールされるとパケットを確認しづらいため、「Automaticscrolling in live capture」はオフにしている。

　設定が完了したら、「Start」ボタンをクリックすることでキャプチャが開始される。

図2:
https://www.netsecurity.ne.jp/images/article/ws-run.jpg

　キャプチャを開始するとウインドウ内に色々な文字列が表示されるだろう。表示される場所によってそれぞれ下記の通り意味がある。

図3:
https://www.netsecurity.ne.jp/images/article/ws-window.jpg

<1>
この部分には、キャプチャしたパケットの番号や日付、送信元、送信先、プロトコルと簡単なインフォメーションが表示される。分析を行う場合、まず、ここでどのようなパケットが流れているのかを確認し、詳細情報を追いかけていくこととなる。

<2>
この部分には、<1>に表示されているパケットを選択することで詳細情報を表示することができる。

<3>
この部分には<1>で選択されたパケットの内容すべてが表示される。表示には16進表記と文字列表示が可能な文字列についてはASCII文字列の両方が表示される。

基本的な使い方は以上である。

(3)使用例とTIPS、検査者の視点から

　「tcpdump」と比べ、非常にユーザフレンドリーで、パケットを取得し、眺める程度であればすぐにでも利用できそうだという印象を受けたのではないだ
ろうか。

　おそらくその印象は…

【執筆：NTTデータ・セキュリティ株式会社辻伸弘】

【関連記事】
現役ペンテスト技術者が選ぶ使えるセキュリティツール(21)
「パケットには真実がある　−　パケットモニタリング系ツール」
https://www.netsecurity.ne.jp/3_11732.html
現役ペンテスト技術者が選ぶ使えるセキュリティツール(22)
「パケットモニタリングツールの王道　−tcpdump」
https://www.netsecurity.ne.jp/3_11765.html
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内 http://www.ns-research.jp/cgi-bin/ct/p.cgi?w02_ssw

《ScanNetSecurity》