【Wireshark】「キャプチャオプション」、「ARP」、「フィルタ」、「ファイアウォール」

キャプチャオプション：入力タブ

設定項目	説明
インターフェース	パケットキャプチャ端末が持っているインターフェース
トラフィック	各インターフェースがやりとりしているトラフィック量
リンク層ヘッダ	データリンク層で使用しているカプセル化タイプ
プロミスキャス	重要。インターフェースの動作モード。チェックするとプロミスキャスモードになり、自分に関係ないパケットもキャプチャする。チェックしないと自分に関係のあるパケット（自分のMACアドレス宛、ブロードキャスト、マルチキャスト）のみキャプチャする。
キャプチャ長（バイト）	パケットの先頭何バイトをキャプチャするか指定する。
バッファ（メガバイト）	バッファに保持するバイト数をメガバイト単位で指定します。基本的にデフォルトで良い。
モニターモード	モニターモードに対応しているインターフェースの場合は、モニターモードを有効にできる。無線LANのパケットをキャプチャする際に使用する。
キャプチャフィルタ	重要。特定のパケットのみキャプチャする場合に使用する。

キャプチャオプション：出力タブ

「自動保存」に関する設定です。ファイル分割や、世代管理などの設定を行えます。

設定項目	説明
ファイル	書き出すファイル名
出力形式	拡張子（基本デフォルトのままで良い。）
後に自動的に新ファイル作成	ファイル分割。１ファイルが大きくなりすぎると開くのに時間がかかるため。
リングバッファを用いる。	分割したファイルを何世代まで保存するか。デフォルトでは無効

キャプチャオプション：オプションタブ

膨大なキャプチャデータの中から少しでも作業負荷を軽減するための設定です。

表示オプション

実時間でパケット一覧を更新

パケット一覧をリアルタイムに更新したい場合に設定。設定しないとパケット一覧がリアルタイムに表示されない。

キャプチャ中に自動スクロール

キャプチャ中に常に最新のパケットを表示させたい場合に使用。

拡張キャプチャ情報画面を表示

キャプチャするときに表示される拡張キャプチャ情報画面を表示したいときにチェックする。

名前解決

MACアドレス解決

パケットのMACアドレスをOUIをベンダー名に変換したい場合にチェックする。

ネットワーク名を解決

パケットのIPをホスト名に変換する。

トランスポート層の名前を解決

ポート番号をサービス名に変換する。

後に自動的にキャプチャを停止

バイト数、経過時間、ファイル数など指定された単位でパケットキャプチャを停止したい時にチェックする。

ARP

送信元のコンピュータが「192.168.10.8は誰ですか？」というパケットをブロードキャスト（全員に送信）している。「192.168.10.8」のPC以外は、このパケットを破棄して、「192.168.10.8」は自身MACアドレスを返す。

ARP応答

該当するIPは、知っているMACアドレスを応答してくれます。なお、一度ARPに問い合わせした結果はARPテーブルと呼ばれる領域に一定期間キャッシュをしてくれます。(Windowsであれば「arp -aコマンド」にてARPテーブルの内容を確認することができます。)

キャプチャフィルタ

キャプチャするパケットをフィルタする。例えば、リモートデスクトップでHTTPサービスにアクセスし、クライアントにくるパケットを調査したい場合は、RDPのパケットは必要ない。

構文

例

表示フィルタ

一覧に表示するデータをフィルタする。キャプチャしたいパケットが不明確な場合はこちらを使う。

構文

例

UDPに限らず、トランスポート層のパケット解析は「IPアドレス + ポート番号（ソケット）」になります。

ファイアウォール

トランスポート層で動作するIPアドレスとポート番号を用いて通信制御する機器です。

ステートフルインスペクション

ファイアウォールの持つ通信制御機能です。「フィルタリングルール」と「コネクションテーブル」を用いて通信を管理している。

フィルタリングルール

通信の許可/拒否を定義する。ベンダによっては「ポリシー」だったり「ACL」だったりと呼び方は様々です。

コネクションテーブル

通信を管理する。フィルタリングルールをコネクション情報を元に動的に書き換えることによってセキュリティ強度を高めているメモリ内のテーブル。以下のような情報を保持しており動的に書き換えています。

• 送信元IP
• 宛先IP
• プロトコル
• 送信元ポート
• 宛先ポート
• コネクション状態
• アイドルタイムアウト