パケットキャプチャーはネットワークトラブルを解決する切り札といえる。ただし単にパケットを取得しただけではその全容は分かりづらい。そこでWindows標準ツールのPktmonで取得したパケットを、パケットキャプチャーソフトのWiresharkで分析してみよう。

 Wiresharkを導入済みのパソコンがあるなら、「Wiresharkでパケットを取得すればよいのではないか」と思われるかもしれない。しかしトラブルが起きた現場でWiresharkを導入したパソコンがすぐに用意できるとは限らない。例えば、遠隔地にあるパソコンでトラブルが発生した場合にリモートでインストールするのは難しい。セキュリティーポリシーにより現場のパソコンにWiresharkをインストールできない場合もある。

 そのような場合でも、Windows標準ツールであるPktmonを使えばパケットを取得できる。取得したログファイルをネットワーク管理者に転送して、専用のパソコンで分析するといった対応ができる。

手元にないパソコンやサーバーの通信を解析する
手元にないパソコンやサーバーの通信を解析する
[画像のクリックで拡大表示]

変換後に読み込む

 PktmonのログファイルはETL形式で保存される。このままではWiresharkで読み込めないので、「pktmon etl2pcap」コマンドを用いてPCAPNG形式に変換する。PCAPNG形式はWiresharkの標準ファイル形式だ。このファイルをWiresharkで読み込むと、キャプチャーしたパケットが一覧表示される。

Wiresharkの画面構成
Wiresharkの画面構成
[画像のクリックで拡大表示]

 ファイルを読み込んだ直後のWiresharkの画面は大きく3つの領域に分かれている。上から「パケットリスト」「パケットディテール」「パケットバイト」という。

 1番上にあるパケットリストには、取得したパケットが一覧表示される。各行が1つのパケットを表し、取得した順番に並ぶ。キャプチャーを開始してから経過した時間や送信元/宛先のIPアドレス、通信プロトコルの種類などが表示される。

 パケットリストでパケットの行を選んでクリックすると、パケットディテールとパケットバイトにパケットの詳細な情報が表示される。

 パケットディテールにはイーサネットやIPなどプロトコルごとに対象パケットの情報がまとめられている。各行先頭にある「>」をクリックすると、各プロトコルに関する詳細な情報が表示される。送信元/宛先のアドレスのほかにTCPの制御パケットの情報(SYNやACK)なども表示する。

 パケットバイトには、ヘッダー情報を含むバイナリーデータが16進数とASCIIコードで表示される。パケットバイトの左側が16進数で表示したデータ。右側がASCIIコードで表示したデータである。

この先は日経クロステック Active会員の登録が必要です

日経クロステック Activeは、IT/製造/建設各分野にかかわる企業向け製品・サービスについて、選択や導入を支援する情報サイトです。製品・サービス情報、導入事例などのコンテンツを多数掲載しています。初めてご覧になる際には、会員登録(無料)をお願いいたします。