Wireshark 使い方
Wireshark 使い方
Wireshark 使い方ですが、
どこかのサイトに、UPされているものをダウンロード、
インストールして、起動して、
とりあえず、キャプチャできました。
そこら辺は、勘で出来そうです。
で、キャプチャしたパケットの中身の分析ですが、やっぱり勉強しないと分かりません。
結局管理人は本を購入。
本屋で、あれこれ中身を読んで、2冊購入。
なかなか高い買い物ですが、先達は必要です。
それに、自身のスキルとしてプラスになるので・・・・と思って。でもまあ、高い。焼肉食えるよな。
どこかのサイトに、UPされているものをダウンロード、
インストールして、起動して、
とりあえず、キャプチャできました。
そこら辺は、勘で出来そうです。
で、キャプチャしたパケットの中身の分析ですが、やっぱり勉強しないと分かりません。
結局管理人は本を購入。
本屋で、あれこれ中身を読んで、2冊購入。
なかなか高い買い物ですが、先達は必要です。
それに、自身のスキルとしてプラスになるので・・・・と思って。でもまあ、高い。焼肉食えるよな。
 パケットキャプチャ入門―LANアナライザWireshark活用術 |
 パケットキャプチャ実践技術―Wiresharkによるパケット解析 応用編 |
ですが、そこまで詳しく見る必要がない人。
とにかく、何らかのエラーがあるか見たい人は、次の操作をすると見られます。
とりあえずTCPでフィルターをかける。
因みにIPでフィルターをかける場合は [ip.addr==192.168.11.5]などとすればよい。
書式等は、本でしか見つけられませんでした。トホホ。
「Analyze」-「Expert Info」
で表示してみる。
赤で囲んだ所に結果が、エラー3と出ている。
でも、IEでは当サイトは正常に表示されています。
なぜなら、TCPレイアの接続がしっかりとしていれば、ちょっとのエラーは大丈夫。
TCPのレイアはその様に設計されていますので。
ネットワークの遅延とか、その辺の???の原因を探すには欠かせないツールです。
上記の本を読まないと、また、照らし合わせないと、なかなか原因までは特定できないようですが・・・・・。
注意点として、ネットワークアダプタの
TCP CHECKSUM offload(IPv4)を Disable
UDP CHECKSUM offload(IPv4)を Disable
に設定しないと、Bad Checksum が多発するので、忘れないようにすること。
キャプチャ後は、元に戻しておくこと。
パケットの分析にはまると、時間がたつのが早いです。
上に書いている、ネットワークアダプタの設定をしていないので、Bad Checksumが多発している(緑色ではなく、黒くなっているライン)。
そういえば、最近のネットワークアダプタは、IPヘッダのChecksumが無いものがあるようです。
本当か?と疑問なのですが・・・
それはさておき、ブラウザで、ホームページ等を見る際に、この「3WAYハンドシェイク」から、接続が始まる。
まず、クライアントが「SYN Seq=0」のデータをサーバへ送る。
サーバが接続OKであれば、「SYN ACK Seq=0 Ack=1」のデータをクライアントへ送る。
クライアントも、接続OKであれば「ACK Seq=1 Ack=1」のデータをサーバへ送る。
というもの。
これが完了して、初めて実際のデータをクライアントが要求し、サーバが流するようになる。
では、SYNって何?ACKって何?と次々に疑問が・・・。
SYN=Synchronize(シンクロナイズ。同期する。)
ACK=Acknowledge(認める。承認する。)
という意味。
ここが接続の基本なので、この「3WAYハンドシェイク」が上手くいかないと、遅延や、障害が間違いなく起こる。
しかしながら、ここだけがネットワーク障害の原因ではない。
ネットワークと一口に言うが、いくつかの層に分けて考えた方が良い。
OSI参照モデルを参考に、下のレイアから調査を開始し
まず、LANケーブル等(物理層)
次に、ネットワークアダプタ等(データリンク層)
次に、PINGが通るか?(ネットワーク層)PINGが通っていても、上のレイアで障害があれば当然ネットワーク障害となる。
次にWiresharkでパケットキャプチャを行って調査。(トランスポート層)
リピータハブ(スイッチングハブではなく、全てにパケットを投げるハブ)を調べる箇所・間につないで、WiresharkをインストールしたPCでキャプチャするとか・・・ ・
・
・
その調査の場所も、色々で、奥が深いのが、このパケットキャプチャというものみたいです。
と、まあ順番に行っていくしかないようです。
確かに言えることは、勉強しないと、パケットの記号の意味すら分からないと言うこと。その意味でも、上で紹介した二つの本は結構役に立ちました。
「スイッチングHUB+ストレートケーブル」は全二重となります。
全二重とは、送受信が同時に出来る事。データの衝突・コリジョンは起こらない。
最近のHUBは、ほとんどがスイッチングHUB。
また、ケーブルも、クロスでもストレートでもHUBが判断してHUBが変わってくれる機能がついている。
因みに、クロスケーブルは、直接PCのNIC同士などを接続する時など、つまり同じ種類のものを直接つなげる時に使用します。
「リピータHUB+ストレートケーブル」は半二重となります。
半二重は、送信なら送信、次に受信と言った具合に行う。代表的なものが、同軸ケーブル。また、コリジョンが起こる。
ルータなどで「SPEED」が、半二重とか、全二重とか選択できて、変えられるようになっていると思いますが、
自動(ルータが判断してくれる)にしておけばOK。因みに通常、全二重で動いているはずです。
とにかく、何らかのエラーがあるか見たい人は、次の操作をすると見られます。
とりあえずTCPでフィルターをかける。
因みにIPでフィルターをかける場合は [ip.addr==192.168.11.5]などとすればよい。
書式等は、本でしか見つけられませんでした。トホホ。
「Analyze」-「Expert Info」
で表示してみる。
赤で囲んだ所に結果が、エラー3と出ている。
でも、IEでは当サイトは正常に表示されています。
なぜなら、TCPレイアの接続がしっかりとしていれば、ちょっとのエラーは大丈夫。
TCPのレイアはその様に設計されていますので。
ネットワークの遅延とか、その辺の???の原因を探すには欠かせないツールです。
上記の本を読まないと、また、照らし合わせないと、なかなか原因までは特定できないようですが・・・・・。
注意点として、ネットワークアダプタの
TCP CHECKSUM offload(IPv4)を Disable
UDP CHECKSUM offload(IPv4)を Disable
に設定しないと、Bad Checksum が多発するので、忘れないようにすること。
キャプチャ後は、元に戻しておくこと。
パケットの分析にはまると、時間がたつのが早いです。
3WAYハンドシェイク(スリーウェイハンドシェイク)
下ののパケットは、当ホームページ(ジオシティーズ)を閲覧した場合のパケットです。上に書いている、ネットワークアダプタの設定をしていないので、Bad Checksumが多発している(緑色ではなく、黒くなっているライン)。
そういえば、最近のネットワークアダプタは、IPヘッダのChecksumが無いものがあるようです。
本当か?と疑問なのですが・・・
それはさておき、ブラウザで、ホームページ等を見る際に、この「3WAYハンドシェイク」から、接続が始まる。
まず、クライアントが「SYN Seq=0」のデータをサーバへ送る。
サーバが接続OKであれば、「SYN ACK Seq=0 Ack=1」のデータをクライアントへ送る。
クライアントも、接続OKであれば「ACK Seq=1 Ack=1」のデータをサーバへ送る。
というもの。
これが完了して、初めて実際のデータをクライアントが要求し、サーバが流するようになる。
では、SYNって何?ACKって何?と次々に疑問が・・・。
SYN=Synchronize(シンクロナイズ。同期する。)
ACK=Acknowledge(認める。承認する。)
という意味。
ここが接続の基本なので、この「3WAYハンドシェイク」が上手くいかないと、遅延や、障害が間違いなく起こる。
しかしながら、ここだけがネットワーク障害の原因ではない。
ネットワークと一口に言うが、いくつかの層に分けて考えた方が良い。
OSI参照モデルを参考に、下のレイアから調査を開始し
まず、LANケーブル等(物理層)
次に、ネットワークアダプタ等(データリンク層)
次に、PINGが通るか?(ネットワーク層)PINGが通っていても、上のレイアで障害があれば当然ネットワーク障害となる。
次にWiresharkでパケットキャプチャを行って調査。(トランスポート層)
リピータハブ(スイッチングハブではなく、全てにパケットを投げるハブ)を調べる箇所・間につないで、WiresharkをインストールしたPCでキャプチャするとか・・・ ・
・
・
その調査の場所も、色々で、奥が深いのが、このパケットキャプチャというものみたいです。
と、まあ順番に行っていくしかないようです。
確かに言えることは、勉強しないと、パケットの記号の意味すら分からないと言うこと。その意味でも、上で紹介した二つの本は結構役に立ちました。
半二重と全二重
半二重とか、全二重とか、この手の事をやっていると出てきますが、「スイッチングHUB+ストレートケーブル」は全二重となります。
全二重とは、送受信が同時に出来る事。データの衝突・コリジョンは起こらない。
最近のHUBは、ほとんどがスイッチングHUB。
また、ケーブルも、クロスでもストレートでもHUBが判断してHUBが変わってくれる機能がついている。
因みに、クロスケーブルは、直接PCのNIC同士などを接続する時など、つまり同じ種類のものを直接つなげる時に使用します。
「リピータHUB+ストレートケーブル」は半二重となります。
半二重は、送信なら送信、次に受信と言った具合に行う。代表的なものが、同軸ケーブル。また、コリジョンが起こる。
ルータなどで「SPEED」が、半二重とか、全二重とか選択できて、変えられるようになっていると思いますが、
自動(ルータが判断してくれる)にしておけばOK。因みに通常、全二重で動いているはずです。