Wiresharkによるネットワークパケットヘッダーの分析と調査についてメモ書きします。
実施環境はWindows10をクライアントとWindows Server2012をサーバとしています。
サーバにWiresharkは導入済みという前提で進めていきます。
パケットキャプチャするサーバのネットワークアダプターをipconfigで確認します。
Ethernet 3とわかったので、これをWiresharkのCaptureフィルタに設定します。
これで、サーバのネットワークインタフェースEthernet 3を通過するパケットのキャプチャ準備ができました。
ARPプロトコル
定常的にarpのブロードキャストパケットが流れています。
このarpパケットの中身を見ると、以下のとおりです。
- Opcode:request(1)
- SenderIP:10.10.10.7
- TargetIP:10.10.10.9
- TargetMAC:00:00:00:00:00:00
とあります。これは10.10.10.7より10.10.10.9へMACアドレスを取得するarpリクエストが送信されているということになります。
ローカルネットワーク内では常時さまざまなパケットが流れています。
ICMPプロトコル
ICMPプロトコルの代表であるpingパケットを解析・調査してみます。
クライアントにてサーバへのpingを送信します。
サーバでProtocalをicmpにてフィルターすると8つのパケットがキャプチャできました。
pingパケットにはTypeがあり、requestとreplyの2つで1セットとなります。
[request]
[reply]
Typeを分析すると、それぞれ設定されています。
その他上位プロトコル
同様にTCPパケットもキャプチャすると3ウェアハンドシェイクのシーケンスも分析できます。
パケットの詳細ペインにはTCPとIPのエリアがあり、各パケットの中身も解析できます。
HTTPパケットはTCPのエリアの下に、Hypertext Transfer Protocolがあり、各パケットのな中身を解析できます。
DNSパケットはTCPではなく、UDPであるためパケットもそのような作りになっています。