はじめに
Wiresharkをインストールはしたものの、何からしていいか分からない方向けに入門記事を書いてみました。
環境情報
- Wireshark 3.2.2
パケットキャプチャ―されたファイルを読み込む
以下のように別サーバで解析したものは「ファイル>Open」で読み込ませます。
そうすると以下のようにカラフルな行が表示されます。
ここから気になる通信を追っていきますがまずは色の意味を確認します。
色付けルール
「表示」→「色付けルール」にて色が付くルールが確認できます。
デフォルトでは以下のようになっているかと思いますが、こちらはカスタマイズも可能です。
例えば以下の青い部分の中を確認すると確かにルール通り通信がUDPであることを指しています。
以下のようにUDPプロトコルであることが確かに確認できます。
User Datagram Protocol, Src Port: 61659, Dst Port: 443
Source Port: 61659
Destination Port: 443
Length: 69
Checksum: 0xd4db [unverified]
[Checksum Status: Unverified]
[Stream index: 0]
[Timestamps]
ここからは解析の流れですが、Wiresharkで通信障害を解析する場合は赤い部分と黒い部分をまずは優先的に確認します。
赤い箇所
例えば以下の通信はConnection reset (RST)で切断が起きている通信です。
クリックして詳細を確認すると以下のようになっていました。明示的に切っていない場合はこの部分が通信障害の可能性があります。
[Expert Info (Warning/Sequence): Connection reset (RST)]
[Connection reset (RST)]
[Severity level: Warning]
[Group: Sequence]
黒い箇所
例えば以下の通信は再送を要求、つまりパケットロスが確認できます。
[Expert Info (Note/Sequence): This frame is a (suspected) retransmission]
[This frame is a (suspected) retransmission]
[Severity level: Note]
[Group: Sequence]頻発しているようであれば、ここも追加長調査が必要な部分です。
終わりに
Wiresharkでパケットを解析する方の参考になれば幸いです。
