パケットキャプチャを読むときは,SourceとDestinationのアドレスを確認しながら分析を勧めます。
しかーし!人間様にIPアドレスを読むのはカナリキツイ。
自分の運用している環境でも厳しいのに,他人のネットワークのキャプチャなんて読めたもんじゃないです。
そこで力になってくれるのがWiresharkの名前解決機能。
MACアドレスやIPアドレス、ポート番号などを人間に読める形に変換してくれます。
ということで今回はWiresharkの名前解決機能の紹介です。
Wiresharkの使い方- パケットキャプチャのTips集 - - 一馬力のメモ帳
目次
名前解決の表示内容を変更する方法
まずは名前解決機能の設定場所
メニューバーから
表示(V) > 名前解決 >
で設定できます
名前解決の範囲
名前解決機能で解決できる名前は3種類
- 物理アドレスを解決
- ネットワークアドレスを解決
- トランスポート層のアドレス解決
となります。
それでは、それぞのの意味を解説しましょう!。
物理アドレスを解決(MAC)
物理アドレスの解決はMACアドレスを名前解決してくれます。
下の例ではSrcとDstにMACアドレスが表示されるように
表示フィルタでarpプロトコルのパケットを選択しています。
設定前
設定後
ネットワークアドレスを解決(IP)
続いてネットワークアドレスではIPアドレスの逆引きをしてくれます
名前解決はWiresharkが実行されている端末で行われるため
表示結果は環境に依存します。
例えば端末からDNSの逆引きができなければIPアドレスは逆引きされません。
今回の例ではIPアドレス172.217.26.99がssl.gstatic.comに変換されています。
設定前
設定後
トランスポート層のアドレス解決(Port)
トランスポート層のアドレス解決では,Port番号を変換してくれます。
下の例では443/tcpがhttpsに変換されています。
設定前
設定後
名前解決機能の注意点3つ
Wiresharkの名前解決機能は便利ですが,その注意点もあります。
特に注意が必要な部分を3つ紹介します。
十分に理解して利用してください
- ケットの名前解決のためDNSのパケットを出力する (パケットを汚す可能性)
- 解決した名前はWiresharkがキャッシュする(最新では無い可能性)
- キャプチャファイルを開くたびに名前解決する(パケットを開いた環境で結果が変わる)
参考になれば幸いです。
参考資料
Wireshark User’s Guide 7.9. Name Resolution
https://www.wireshark.org/docs/wsug_html_chunked/ChAdvNameResolutionSection.html
試した環境
ホストOS
iMac (27-inch, Mid 2010) macOS High Sierra システムのバージョン: macOS 10.13.4 (17E202) カーネルのバージョン: Darwin 17.5.0
Wireshark
Wireshark Version 2.4.3 (v2.4.3-0-g368ba1e)