Wiresharkによるネットワークパケット分析・調査~

SOC&SIRT備忘録
この記事は約2分で読めます。

Wiresharkによるネットワークパケットヘッダーの分析と調査についてメモ書きします。

実施環境はWindows10をクライアントとWindows Server2012をサーバとしています。

サーバにWiresharkは導入済みという前提で進めていきます。

パケットキャプチャするサーバのネットワークアダプターをipconfigで確認します。

Ethernet 3とわかったので、これをWiresharkのCaptureフィルタに設定します。

これで、サーバのネットワークインタフェースEthernet 3を通過するパケットのキャプチャ準備ができました。

ARPプロトコル

定常的にarpのブロードキャストパケットが流れています。

このarpパケットの中身を見ると、以下のとおりです。

  • Opcode:request(1)
  • SenderIP:10.10.10.7
  • TargetIP:10.10.10.9
  • TargetMAC:00:00:00:00:00:00

とあります。これは10.10.10.7より10.10.10.9へMACアドレスを取得するarpリクエストが送信されているということになります。

ローカルネットワーク内では常時さまざまなパケットが流れています。

ICMPプロトコル

ICMPプロトコルの代表であるpingパケットを解析・調査してみます。

クライアントにてサーバへのpingを送信します。

サーバでProtocalをicmpにてフィルターすると8つのパケットがキャプチャできました。

pingパケットにはTypeがあり、requestとreplyの2つで1セットとなります。

[request]

[reply]

Typeを分析すると、それぞれ設定されています。

その他上位プロトコル

同様にTCPパケットもキャプチャすると3ウェアハンドシェイクのシーケンスも分析できます。

パケットの詳細ペインにはTCPとIPのエリアがあり、各パケットの中身も解析できます。

HTTPパケットはTCPのエリアの下に、Hypertext Transfer Protocolがあり、各パケットのな中身を解析できます。

DNSパケットはTCPではなく、UDPであるためパケットもそのような作りになっています。

コメント

Copy Protected by Chetan's WP-Copyprotect.