前回は、Wiresharkについて簡単に紹介した。
プロミスキャスモードやモニターモードでパケットをキャプチャできるようになったので、実際に中身をみてみよう。
パケットの一覧
パケットをキャプチャすると、ほんの数秒のあいだに大量のパケットで画面が埋め尽くされる。
つまり、1つ1つ確認することが難しくなってくる。
そこで役にたつのが、色分けだ。
色分け
上記のサンプルでもわかるように、灰色、黒、青などの横線が見えるだろうか。
実は、この色にはルールがある。
メニューの「表示(V)」 をクリックし、「色付けルール」を選択しよう。
すると、次のようなルールが表示される。
TCP RSTの場合
ここでは、赤色に設定されているTCPのRSTについてみてみよう。
赤色のパケットを選択すると、下の2つのペインも連動して表示される。
RSTの説明に前に、3WAYハンドシェイクをおさらいしよう。
ざっくりいうと、3WAYハンドシェイクは、「送ってOK?」「OK。こっちも送ってOK?」「OK」と3回のやりとりのあとに接続を確立させるやり方だ。
しかし、受信側がいつもOKとは限らなく、ダメなときもある。また、相手にしたくないときもある。
そんなとき、通信の終了を一方的に相手方に通知するためにRSTパケットをおくりつける。
Resetの略だ。
もっと詳しくいうと、RSTパケットは、RSTフラグに1がセットされたパケットだ。
丁寧に切断するには、つぎのようにFINパケットをおくるよ。
送信側:バイバイするよ〜
受信側:いいよ
受信側:バイバイするよ〜
送信側:いいよ
まとめ
Wiresharkでは、パケットを色分けすることによってより簡単に解析ができるようになる。
また、色分けをカスタマイズすることができるので、必要に応じて試してほしい。
コメント