Wiresharkは、 無料であると同時にうまく機能し、使用するのも難しくないため、世界で最も有名なネットワーク分析ツールの1つです。 しかし、その名声は、 このプログラムを使用すると、コンピューターネットワーク内を通過するパケットと情報をフィルター、キャプチャ、およびスパイできるという事実に由来しています 。
一般的なガイド(パケットをキャプチャするために保護されたWi-Fiネットワークを入力し、インターネットで行うことをスパイする)にあるように、パケットをスパイすると、PCとインターネット間の通信で明らかになるあらゆる種類の情報を読み取ることができます。
これは、2人が同じオフィスまたは自宅にいて、同じネットワーク(または同じルーター)に接続してインターネットに接続する場合、2台のPCを見ることができ、1台からWiresharkを使用して、その他、アクセスするWebサイト、プレーンテキストパスワード(非httpsサイト)、メール、チャットなど。
ただし、Wiresharkは、とりわけ専門の技術者も使用する非常に強力なネットワーク分析プログラムであるため、真剣に使用する方法を見てみましょう。
Wireshark for WindowsまたはMac OS Xは、公式Webサイトからダウンロードできます 。
Linuxまたは別のUNIXライクシステムを使用している場合、Wiresharkは配布ソフトウェアリポジトリにある必要があります。
Wiresharkをダウンロードしてインストールしたら、Wiresharkを起動できます。 分析する正しいネットワークインターフェイスをすぐに選択する必要があります 。
たとえば、ワイヤレスネットワークでトラフィックを取得する場合は、Wi-Fiネットワークカードをクリックします。使用しているネットワークが有線の場合は、LAN接続などを選択する必要があります。
インターフェイスを選択するとすぐに、ネットワーク上を通過する情報が連続スクロールリストに表示されることがすぐにわかります。
複数のコンピューター (wifiなど)で共有されるネットワークで制御を有効にし、 プロミスキャスモードでデータ収集をアクティブにした場合、同じネットワークに接続されている他のコンピューターのパケットも表示されます 。
混合モードでの取得は、Wiresharkインストールパッケージに含まれているWinPCapドライバーをインストールすることによってのみWindows PCから可能です。
左上隅で、キャプチャプロセスをリアルタイムで停止し、トラフィックの取得を停止できます。
Wiresharkは、さまざまな色の傍受データを表示して、トラフィックタイプをより簡単に識別できるようにします。
デフォルトでは、 TCPトラフィックは緑 、DNSトラフィックは濃い青、UDPトラフィックは薄い青です。 黒いものは問題のあるTCPパケットです。
始めて、それが機能するかどうかを確認するには、いくつかのWebサイトを開いてインターネットを閲覧しているときに、データと情報がWiresharkによってキャプチャされることを確認する必要があります。
HTTP呼び出しは、インターネットトラフィックに関連する呼び出しであり 、訪問したサイトなどのブラウジング情報を検索する場合に最も興味深い可能性があります。
Wiresharkで分析するためのサンプルファイルをダウンロードすることもできます。
生成されたデータの海で迷子にならないようにするためには、パケットフィルタリングルールを使用することが重要です。
フィルターを適用する最も簡単な方法は、ウィンドウ上部のフィルターボックスに検索キーを入力し、[適用]をクリックすることです。
たとえば、「 http 」と入力すると、インターネット上のブラウザを介した接続のみが表示されます。
各パッケージを検査し、右ボタンでクリックするだけで、詳細とTCPストリーム、または実行されたステップの履歴を確認できます(たとえば、Googleでさらに多くのものを検索した場合、フロー全体を確認できます)。
[ 分析 ]メニューから、より具体的なフィルターを適用できます。
パケットを取得する場合、IPアドレスのみが表示されるため、ネットワーク上のいびきのデータと情報の流れを理解するのは不便で困難な場合があります。
ただし、 [編集 ]メニュー-> [設定]-> [名前解決 ]から機能を有効にし、[ネットワーク名解決を有効にする]を有効にすることにより、IPアドレスをドメイン名に変換できます (httpトラフィックの場合、これはWebサイトの名前を表示することを意味します)。
このオプションを有効にすると、IPアドレスではなくドメイン名が表示されますが、Wiresharkは各ドメイン名を検索する必要があるため、データの流れを増やすことでDNS要求が増加します。
コンピューターで自動パケットキャプチャを設定する場合は、デスクトップショートカットを作成してWiresharkをすばやく起動できます。
リンクを作成した後、右クリックしてプロパティを入力し、「 Destination 」が書き込まれる場所で、行の最後の引用符の後にスペースを追加してから-i#-kを追加します。
#の代わりに、Wiresharkが選択段階で与える順序に従って、チェックするネットワークカードの番号を入力する必要があります。
同じネットワークに接続されている他のコンピューターからのトラフィックをキャプチャすることは、おそらく最も面白い目的であり、私たち自身の小さな方法で少しハッカーになります(ただし、それほど簡単ではありません)。
ネットワークトラフィックを記録し、ルーター、サーバー、またはその他のコンピューターを通過する情報をスパイする場合は、WindowsではWinPcapドライバーを使用するWiresharkリモートキャプチャを使用する必要があります。
インストール後、Windowsサービスウィンドウを開く必要があります([スタート]をクリックし、[検索]または[ファイル名を指定して実行]ボックスにServices.mscコマンドを記述します)。
サービスのリストで、いわゆるRemote Packet Capture Protocolを見つけてアクティブにします。
このサービスはデフォルトで無効になっています。
最初のWiresharkウィンドウで[ オプションキャプチャ]をクリックし、[ インターフェイス]ボックスから[ リモート]を選択します。
次に、リモートシステムのアドレス(例: 192.168.2.3 )を2002ポートとして入力します。
動作するには、リモートシステムのポート2002にアクセスできる必要があるため、コンピューターのファイアウォールまたはルーターでこのポートを開く必要があります。
接続後、ネットワークカードがリストされているボックスからリモートシステムのインターフェイスを選択し、[開始]をクリックして、そのコンピューターからの接続の記録を開始できます。
このビデオでは、Wiresharkの使用方法を学ぶための入門チュートリアルが非常によくできています。
Wiresharkは非常に強力なツールであり、たとえ最も経験のある人だけがそれを完全に理解し、ネットワーク内のあらゆるタイプの操作を行うために使用できます。
このチュートリアルは、できることのすべてを紹介したものです(英語の完全なマニュアルはこちら)。 専門家がネットワークプロトコルのインストールをデバッグし、セキュリティの問題を分析し、企業のトラフィックを制御するために使用することを知っているだけです。
最後に、最後の推奨事項:多くの組織では、Wiresharkまたは同様のツールがネットワーク上で動作することを許可していないため(プライバシーの問題)、許可がない限りオフィスで使用する危険はありません。
より簡単なプログラムを試してみたい場合は、 NirsoftツールをダウンロードしてPCネットワークを探り、訪問したサイト、インターネット検索、パスワードを確認することをお勧めします 。
