Wiresharkを使って実際にパケットキャプチャをしてみます。

パケットキャプチャの開始と停止

キャプチャ対象のインターフェースを選択します。ここでは Wi-Fi: en0 をサンプルとして選択。対象のPCで通信に使っているインターフェースを選択してください。

選択後、左上のサメのヒレのようなマークをクリックするとパケットキャプチャが開始されます。パケットキャプチャを開始した状態で、ブラウザ等で適当なページを表示させると、キャプチャされたパケットデータがWiresharkに表示されていきます。

停止したい時はヒレのマークの隣の赤い四角マークをクリックすると停止します。

キャプチャ結果の表示

パケットキャプチャを開始後、キャプチャしているPCが送受信したパケットが表示されます。

が表示されます。 (画像は表示レイアウトをカスタマイズしています)

キャプチャしたパケットの一覧が表示されます。

一覧に表示されているパケットをクリックすると、パケット詳細ペインに対象パケットのプロトコルツリーが表示されます。

パケットリストペインで選択されているパケットの詳細情報 (プロトコルツリー) が表示されます。

TCP/IPの各レイヤプロトコルで何を使用していて、どのような情報が書き込まれているかなど。実際の解析では、このパケット詳細ペインに表示されている情報を使いながら解析を進めていきます。

パケットリストペインで選択されているパケットのバイト列が表示されます。

解析で参照することはあまりありませんが、直接バイト列を確認したい場合などに使います。

パケットキャプチャを停止した状態ではファイルとして保存されていないため、あとで解析する場合はキャプチャデータの保存を行います。

macOSでは "File → Save" で保存できます。適当な名前をつけて "Save" で保存します。