パケット解析 7: 10分でわかるWireshark (統計機能の使い方／見方)

前回は、Wiresharkのパケットの色分けについて紹介しました。

大量のパケットデータのなかで気になる情報をみつけるときに非常に便利です。

そこで今回は、全体像がわかるようにいくつか統計機能をつかってみましょう。

エンドポイント（終端）
対話
プロトコル階層
まとめ

エンドポイント（終端）

ネットワーク通信には、すくなくとも2つの機器でデータのやりとりがされます。

またTCP/IP通信には、2つのエンドポイントがあります。

ここで言うエンドポイントとは、ネットワークにつながっている端末の総称です。

たとえば、PC、サーバ、スマホ、タブレットなどがあります。

トラフィックを解析するには、まずネットワーク上のエンドポイントを把握しましょう。

メニューから「統計」-> 「終端」を選択すると、WiresharkのEndpointsダイヤログが表示されます。

エンドポイントのアドレスを選び、特定のIPアドレスの通信だけフィルタして表示させることもできます。

たとえば、IPアドレスを右クリックし、「検索」-> 「選択済み」をクリックしてください。

すると、Wiresharkの表示フィルタに、ip.addr==IPアドレスがセットされ、特定のIPアドレスとの通信が検索されます。

対話

メニューから「統計」-> 「対話」を選択すると、WiresharkのConversationsダイヤログが表示されます。

Address AとAddress Bという形で、プロトコルごとに表示されます。

IPv4タブを選び、バイト順にソートすると、通信量の多い機器も簡単にみつけることができます。

また、WHOIS検索をかければ、このIPアドレスがどこからかきているかもわかります。

たとえば、中国からアクセスがあり、どんなアクセスか調べるには、上記のリストから対象を右クリックし、「検索」、A<->Bを選びます。すると、AとBの通信パケット情報が表示されます。

ProtocolにSSHv2が表示され、Elliptic Curve Diffie-Hellman Key Echangeという暗号を利用して接続(不正アクセス？)を試みていることがわかります。

さらに、該当のIPアドレスのaudit.logを確認すると、何度も接続を試みて、失敗していることが確認できます。

./audit/audit.log.4:type=USER_LOGIN msg=audit(1623319439.381:195393): pid=198950 uid=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:sshd_t:s0-s0:c0.c1023 msg='op=login acct="(unknown)" exe="/usr/sbin/sshd" hostname=? addr=222.187.232.205 terminal=ssh res=failed'UID="root" AUID="unset"
./audit/audit.log.4:type=USER_LOGIN msg=audit(1623327538.526:207529): pid=206644 uid=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:sshd_t:s0-s0:c0.c1023 msg='op=login acct="(unknown)" exe="/usr/sbin/sshd" hostname=? addr=222.187.232.205 terminal=ssh res=failed'UID="root" AUID="unset"
./audit/audit.log.1:type=USER_LOGIN msg=audit(1623372348.805:257898): pid=251865 uid=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:sshd_t:s0-s0:c0.c1023 msg='op=login acct="(unknown)" exe="/usr/sbin/sshd" hostname=? addr=222.187.232.205 terminal=ssh res=failed'UID="root" AUID="unset"