ネットワークのトラブル解析などに利用できるネットワークアナライザー「Wireshark」の使い方

 PCがネットにつながらない、通信速度がなぜか遅い、などといったトラブルは、誰しも経験したことがあるはずだ。しかし、その正確な原因を知るのは容易ではない。ハードウェアの故障や接続ミス、ソフトの設定ミスやバグ、ウイルスや外部からの攻撃など、様々な要因が複合的に絡み合っているためだ。今回紹介するのは、そのようなトラブルの究明に役立つ強力なネットワークプロトコルアナライザー「Wireshark である。

 ネットワークプロトコルアナライザーは「パケットキャプチャ」や「スニファ」とも呼ばれ、LANケーブル内を流れる生のデータ(パケット)をキャプチャして解析するためのツールだ。PCやサーバが行っている通信をすべて可視化できるため、問題点を見つけるにはもってこいといえる。

 商用無償を問わずネットワークプロトコルアナライザーはいくつもあるが、中でもWiresharkは使いやすいGUI、OSを選ばないクロスプラットフォーム、850を超す膨大な対応プロトコルから世界中の技術者に愛用され、業界標準とされているツールだ。単なるトラブルシュート以外にネットワークの構築、運用、管理、セキュリティの維持、ネットワークアプリケーションの開発やデバッグに欠かせない存在となっている。以前は「Ethereal」という名前で呼ばれていたが、数年前に商標問題から改称し、現在も精力的に開発が続けられている。

 自動解析をするツールではないので、解析には各種プロトコルの基礎的な知識が必要とされるが、大規模なネットワークのみならず家庭内LANのような小規模なネットワークを管理する際にも心強い味方になるだろう。なお、パケットのキャプチャは不正な使用につながる危険性もあるため、管理者によって禁止されている場合がある。Wiresharkを使用する際には注意されたい(図1)。

図1 Wiresharkは生のパケットをキャプチャして解析できる
図1 Wiresharkは生のパケットをキャプチャして解析できる

Wiresharkのインストール

 WiresharkはSourceForge.JPのダウンロードページから入手できる。Windows上で利用する場合は、Windowsのマークとともに「DL」と書かれたリンクをクリックし、インストーラをダウンロードすればよい。64ビット版Windows、Mac、Linuxで利用する場合は下部の「その他全ファイル」から該当するファイルをダウンロードしよう(図2)。

図2 「DL」と書かれたリンクをクリックするとインストーラをダウンロードできる
図2 「DL」と書かれたリンクをクリックするとインストーラをダウンロードできる

 ダウンロードしたインストーラを実行してインストールを行う。インストーラは標準的なウィザード形式なので、画面の指示に従って「Next」をクリックしていけばよい(図3)。

図3 インストールは「Next」をクリックしていくだけなので簡単だ
図3 インストールは「Next」をクリックしていくだけなので簡単だ

 インストールを進めていくと、途中で「WinPcap」のインストーラが自動的に起動し、ウィザードが表示される。WinPcapはWindowsに低レベルのネットワークアクセス機能を提供するドライバで、Wiresharkの動作には欠かせない。「Next」をクリックして、Wireshark本体と同様にインストールを行おう(図4)。

図4 WinPcapのインストーラが表示されたら「Next」をクリックしてインストールしよう
図4 WinPcapのインストーラが表示されたら「Next」をクリックしてインストールしよう

 Wiresharkを利用する際には、インストールの手順だけではなく、どのマシンにインストールするかも重要なポイントとなる。スイッチングハブとルータで構成される一般的なネットワークの場合、Wiresharkでキャプチャできるのは、インストールしたマシンから送信されるパケットか、インストールしたマシン宛てのパケットのみだ。従って、基本的には問題が発生しているPC/サーバにWiresharkを直接インストールすればよい。特定のPCがネットにつながらないならそのPCに、ネットワーク全体でメールが届かないならメールサーバにインストールしよう。しかし、たとえば問題のマシンに高い負荷がかかっている場合や、マルウェアに侵入されている場合は、パケットを正常にキャプチャできない恐れがある。このようなときは別のマシンにWiresharkをインストールし、スイッチングハブのポートミラーリング(SPAN)機能を使うとよい。また、Wiresharkをインストールしたマシンと問題のマシンをリピータハブでネットワークに接続することでもキャプチャ可能だ(写真1)。

写真1 ポートミラーリングの有無やコマンドは機種によって異なるのでここでは割愛する。リピータハブはアライドテレシスなどから現行品として販売されている。
写真1 ポートミラーリングの有無やコマンドは機種によって異なるのでここでは割愛する。リピータハブはアライドテレシスなどから現行品として販売されている。