パケットキャプチャーは、LANケーブルの中を流れるパケットの中身を見る。しかしLANケーブルの中をのぞくことなんて、どうすればできるのか。パケットキャプチャーは、特別なソフトと特殊な機能を持つ機器によって実現する。詳しく見ていこう。

パケットをいったん取り込む

 パケットキャプチャーは、パソコンなどのコンピューターにインストールしたソフトを使う。そのソフトは、「パケットキャプチャーソフト」や「LANアナライザー」などと呼ばれる。

 具体的には、オープンソースソフトとして無償で提供される「Wireshark」や、米マイクロソフト(Microsoft)が無償提供する「Microsoft Message Analyzer」、レイヤーが開発・販売する「PacMon」などがある。ここでは、2019年6月時点で最新のWiresharkを前提に解説する。

 パケットキャプチャーソフトは、LANケーブルを通じてパソコンのポートに届いたパケットを、次々とストレージに保存していく。この作業が「キャプチャー」である。保存したデータは、「キャプチャーデータ」や「キャプチャーファイル」と呼ぶ。

パケットキャプチャーソフトと呼ばれるソフトで、LANケーブルを通じてパソコンに届いたパケットを次々とストレージに保存する。すべてのパケットをいったん保存してからデータを解析する
[画像のクリックで拡大表示]

 パケットの解析は通常、キャプチャーデータに対して行う。キャプチャー中に解析することも可能だが、できれば保存したデータで行ったほうがよい。キャプチャーは、パソコンにかかる負荷が大きいからだ。キャプチャーと解析を同時に行うと、パケットを取りこぼす可能性がある。

 Wiresharkには、「Tshark」と呼ばれる、コマンドラインで実行できるパケットキャプチャーソフトも付属する。グラフィカルな表示のWiresharkに比べて、コマンドのTsharkはパソコンにかかる負荷が小さい。1Gビット/秒を超えるような大容量の通信をキャプチャーするときは、取りこぼしを減らすためにTsharkを使うことがある。

プロミスキャスモードを使う

 一方、LANケーブルの中を流れるパケットをキャプチャーしたいこともある。

 こんな場合は、リンク(経路)を分岐して、分岐した先にパケットキャプチャーソフトが動作するパソコンをつなぐ。これにより、リンクを流れる両方向のパケットをキャプチャーできる。この方法なら、既存システムにパケットキャプチャーソフトをインストールしなくてもパケットキャプチャーが可能になる。

リンクを分岐することで、ネットワーク間を流れるパケットもキャプチャーできる
[画像のクリックで拡大表示]

この先は日経 xTECH Active会員の登録が必要です

日経xTECH Activeは、IT/製造/建設各分野にかかわる企業向け製品・サービスについて、選択や導入を支援する情報サイトです。製品・サービス情報、導入事例などのコンテンツを多数掲載しています。初めてご覧になる際には、会員登録(無料)をお願いいたします。