コンピュータネットワーク第14週 Wireshark演習

2016年7月15日

金岡 晃

授業計画（改訂版）

1

第1週

(4/8)

授業概要説明・コンピュータネットワークの概要

第2週

(4/15)

物理層

第3週

(4/22)

データリンク層

第4週

(5/6)

メディア・アクセス副層

第5週

(5/13)

休講

第6週

(5/20)

ネットワーク層

第7週

(5/27)

中間試験

第8週

(6/3)

トランスポート層中間試験解説

第9週

(6/10)

応用層：DNS、電子メールトランスポート層

第10週

(6/17)

応用層：WWW、ストリーミング、コンテンツ配信応用層：DNS、電子メール、

WWW

第11週

(6/24)

休講

第12週

(7/1)

ネットワークセキュリティ

第13週

(7/8)

休講

第14週

(7/15)

Wireshark実習

(7/23-8/5)

期末試験

2016/7/15 コンピュータネットワーク

WIRESHARKの使い方

2016/7/15 コンピュータネットワーク2

レイヤ通信を観察：Wireshark

• Wireshark

– ネットワークを流れるデータを解析するオープンソースのソフトウェア

– 以前は「Ethereal」と言っていた

• 何ができるか

– 現在流れているデータ（パケット）を見る、解析

– 保存されたパケットを見る、解析

• これをやってみましょう

2016/7/15 コンピュータネットワーク3

いま自分のPCに流れているパケットを観察してみる

2016/7/15 コンピュータネットワーク4

まずWiresharkを立ち上げる

いま自分のPCに流れているパケットを観察してみる

2016/7/15 コンピュータネットワーク5

左から1つめのアイコンをクリックする

と、こんなウインドウ

が開きます

「Start」ボタンを押すと開始です。

画面の説明

2016/7/15 コンピュータネットワーク6

画面の説明

2016/7/15 コンピュータネットワーク7

パケット取得時刻

画面の説明

2016/7/15 コンピュータネットワーク8

パケットの送信元

画面の説明

2016/7/15 コンピュータネットワーク9

パケットの宛先

画面の説明

2016/7/15 コンピュータネットワーク10

通信の種類

画面の説明

2016/7/15 コンピュータネットワーク11

パケットの概要

画面の説明

2016/7/15 コンピュータネットワーク12

各パケットの詳細内容

画面の説明

2016/7/15 コンピュータネットワーク13

各パケットの生データ

キャプチャ（取得）終了

2016/7/15 コンピュータネットワーク14

ここをクリック

データ保存

2016/7/15 コンピュータネットワーク15

ここをクリック

データ保存の場所について

• デスクトップやマイドキュメントに保存すると、次回ログイン時に消えます

• Zドライブの自分のフォルダに保存してください

– この授業用のフォルダを作って、そこに保存することを勧めます

2016/7/15 コンピュータネットワーク16

パケットデータ：その1

• 授業用ページ（コンピュータネットワーク（2016））から「toho_comnet_001.pcap」をダウンロードしてください。

• ファイルをダブルクリックで見ることができる

– または

• Wiresharkを立ち上げた後に「File」→「Open」でファイルを選択

• 図上のアイコンをクリックしてファイルを選択。

2016/7/15 コンピュータネットワーク17

ここです

http://www.klab.is.sci.toho-u.ac.jp/classes/

パケットデータ：その1

2016/7/15 コンピュータネットワーク18

Wireshark：表示パケットのフィルタリング

• フィルタをかけてみよう

– 必要なデータだけを表示させる

– 通信の種類がHTTP（TCP 80番ポート）のパケットのみを表示

2016/7/15 コンピュータネットワーク19

「tcp.port == 80」と入力

パケットの構成（この場合）

2016/7/15 コンピュータネットワーク20

プリアンブル あて先MACアドレス 送信元MACアドレス データタイプ データ

IPヘッダ

FCS

IPデータ

TCPヘッダ TCPデータ

パケットNo.30には、HTTPも含まれている！

HTTPデータ

パケットデータ：その1（見ているもの）

• 日本最初のホームページ

– http://www.ibarakiken.gr.jp/www/

2016/7/15 コンピュータネットワーク21

高エネルギー加速器研究機構（KEK）

1992年9月30日に初めて発信された。

Wiresharkでイーサネットフレームを見る

2016/7/15 コンピュータネットワーク22

三分割されている真中に注目

Wiresharkでイーサネットフレームを見る

2016/7/15 コンピュータネットワーク23

Frame 1 (376 bytes on wire, 376 bytes captured)

Ethernet II, Src: NecAcces_8c:45:c5 (00:0d:02:...

Internet Protocol, Src: 192.168.0.254 (192.168…

User Datagram Protocol, Src Port: ssdp (1900), …

Hypertest Transfer Protocol

Wiresharkでイーサネットフレームを見る

2016/7/15 コンピュータネットワーク24

「Ethernet」の左の「+」マークを押してみる

Frame 1 (376 bytes on wire, 376 bytes captured)

Ethernet II, Src: NecAcces_8c:45:c5 (00:0d:02:...

Destination: IPv4mcast_7f:ff:fa (01:…)

Srource: NecAcces_8c:45:c5 (00:0d:…)

Type: IP (0x0800)

Wiresharkによるイーサネットフレームの読み方

2016/7/15 コンピュータネットワーク25

これがMACアドレス

で、用件なんだけど・・・

おれも元気だよ。

TCPコネクションと3-Way Handshake

• きちんとした通信を確立するため、TCPには「コネクション」という概念がある

– コネクション確立状態の制御のためにフラグが用いられ、フラグの状態によりパケットの用途が決まる

• フラグの種類

– SYN

• コネクション確立の要求

– ACK

• 応答確認

– SYN+ACK

– その他

• RST、FIN、URG

2016/7/15 コンピュータネットワーク26

SYN

SYN＋ACK

ACK

元気？

元気だよ。おまえは？

WiresharkでTCP 3-Way Handshakeを見る

• Wiresharkを立ち上げて、キャプチャを開始する。

• Webを見るなどして一定時間したあと、Filterをかける

– 「ip.proto == 6」

• TCPのパケットで、SYN、SYN+ACK、ACKと成っている3つの組を見つけてみよう

2016/7/15 コンピュータネットワーク27

TCPで通信しているパケットの確かめ方

2016/7/15 コンピュータネットワーク28

SYN、ACKといったフラグが確認できる

名前解決しているところを見てみる

• Wiresharkを立ち上げて、キャプチャを開始する。

• Webを見るなどして一定時間したあと、Filterをかける

– 「udp.port == 53」

• DNSのパケットを眺めて、きちんと「リクエスト」「回答」があるかをチェックしよう

2016/7/15 コンピュータネットワーク29