一馬力のメモ帳

MVSからLinuxまで。基盤屋さんは眠らない

Wiresharkでキャプチャしたパケットの名前解決[macOS]

### 広告 ###

パケットキャプチャを読むときは,SourceとDestinationのアドレスを確認しながら分析を勧めます。
しかーし!人間様にIPアドレスを読むのはカナリキツイ。

自分の運用している環境でも厳しいのに,他人のネットワークのキャプチャなんて読めたもんじゃないです。

そこで力になってくれるのがWiresharkの名前解決機能。

MACアドレスIPアドレス、ポート番号などを人間に読める形に変換してくれます。

ということで今回はWiresharkの名前解決機能の紹介です。

目次


名前解決の表示内容を変更する方法

まずは名前解決機能の設定場所

メニューバーから

表示(V) > 名前解決 >  

で設定できます

f:id:htbariki:20180604214929p:plain

名前解決の範囲

名前解決機能で解決できる名前は3種類

となります。

それでは、それぞのの意味を解説しましょう!。

物理アドレスを解決(MAC

物理アドレスの解決はMACアドレスを名前解決してくれます。

下の例ではSrcとDstにMACアドレスが表示されるように
表示フィルタでarpプロトコルのパケットを選択しています。

設定前

f:id:htbariki:20180604214953p:plain

設定後

f:id:htbariki:20180604214922p:plain

ネットワークアドレスを解決(IP)

続いてネットワークアドレスではIPアドレスの逆引きをしてくれます
名前解決はWiresharkが実行されている端末で行われるため
表示結果は環境に依存します。

例えば端末からDNSの逆引きができなければIPアドレスは逆引きされません。

今回の例ではIPアドレス172.217.26.99がssl.gstatic.comに変換されています。

設定前

f:id:htbariki:20180604214939p:plain

設定後

f:id:htbariki:20180604214949p:plain

トランスポート層のアドレス解決(Port)

トランスポート層のアドレス解決では,Port番号を変換してくれます。
下の例では443/tcphttpsに変換されています。

設定前

f:id:htbariki:20180604214943p:plain

設定後

f:id:htbariki:20180604214935p:plain

名前解決機能の注意点3つ

Wiresharkの名前解決機能は便利ですが,その注意点もあります。
特に注意が必要な部分を3つ紹介します。

十分に理解して利用してください

  • ケットの名前解決のためDNSのパケットを出力する (パケットを汚す可能性)
  • 解決した名前はWiresharkがキャッシュする(最新では無い可能性)
  • キャプチャファイルを開くたびに名前解決する(パケットを開いた環境で結果が変わる)

参考になれば幸いです。

参考資料

Wireshark User’s Guide 7.9. Name Resolution
https://www.wireshark.org/docs/wsug_html_chunked/ChAdvNameResolutionSection.html 

試した環境

ホストOS

Apple iMac 21.5インチ 1.6GHz Corei5 8GB 1TB MK142J/A

iMac (27-inch, Mid 2010)

macOS High Sierra
 システムのバージョン:    macOS 10.13.4 (17E202)
 カーネルのバージョン:    Darwin 17.5.0

 Wireshark

Wireshark
    Version 2.4.3 (v2.4.3-0-g368ba1e)