Wiresharkパケットキャプチャを分析するための5つの有用なヒント

Posted on

Wiresharkパケットキャプチャは初めてですか?

私はそこにいた–私は私の最初のパケットキャプチャを受信し、それを分析するように求められました。
このスキルを持つには、パケットキャプチャを読むことによって問題がどこにあるかを伝えることができます。 今、そして将来的に!
しばらくすると、Wiresharkで行うための最初のステップと最初のフィードバックを与える方法についての感じを得ます。

カスタムWiresharkプロファイルを使用する

Wiresharkを初めて使用し、以前にパケットキャプチャを分析したことがないとき、私は失われました。
パケット解析が”サイト信頼性エンジニア”として重要な役割を果たしたので、その時を覚えています。 そして、私は準備ができていませんでした。

Wiresharkは、基本的な列Packet Number、Time、Source、Destination、Protocol、Length、Infoを持つ「デフォルト」プロファイルでファイルを開きます。
時間が経つにつれて、私は最初から利用可能な列を増やすことは時間を節約し、トラブルシューティングにも役立つことを理解しました。

あなたがスクリーンショットで見ることができるように、私はいくつかの列を追加しました。 それらのいくつかは非常に重要です:

  • Delta Time=>以前にキャプチャされたパケット
  • Bytes in Flight=>送信されたがまだ確認されていないデータ
  • シーケンス番号
  • 確認された番号
  • 次のシーケンス番号

これらの列を追加すると、分析に時間を節約できました!

3-Way-Handshakeから最初の情報を取得

3-Way-Handshakeは、クライアントとサーバー間の通信を確立するためのTCPの最も重要なステップです。
ここでは、握手がどのように見えるかの短い要約:

  1. クライアントは、初期シーケンス番号を持つSYNパケットをサーバーに送信します
  2. サーバーは、SYNパケットを(クライアントから)確認(ACK)し、独自のSYNパケットを(サーバーから)送信します
  3. クライアントは、SYNパケットを(サーバーから)確認(ACK)します
  4. これで、TCP通信が確立され、データ交換が可能になりました

3ウェイ-ハンドシェイクの間には、クライアントとサーバーの間で多くの有用な情報が交換されます。
送信元IP、宛先IP、送信元ポート、宛先ポート、送信元MAC、宛先MACの横にも取得できます:

  • RTT=>クライアントとサーバー間の往復時間
  • TTL=>生きている時間–その値を使用すると、クライアントとサーバー間のホップ数を計算することができます
  • 計算されたウィンドウサイズ=>それが確認される必要がある前に受信できるデータのサイズ

わずか3パケットで、あなたのTCP通信についての概要を得ることができます。
パケットキャプチャを宛先アドレスにフィルタリングし(必要なフィルタについては、私のWiresharkの紹介–パート2を使用してください)、分析を開始します。

今から私は例として私のプライベートネットワーク内の私のクライアントとの間のTCP通信を使用していますtcpdump-it.com サーバー(173.212.216.192)。

どのように多くのパケットが失われたかを確認する

私はインフラストラクチャ側で作業しているので、私の最初の目標は、ネットワークが正常に動作しているかどうかを理解することです。
ネットワークパケットキャプチャを分析するように求められたとき、パケット損失(TCP再送信)の割合を理解することは必須のステップです。

それを行うために、私は表示フィルタ”ip.addr==173.212.216.192およびtcp。分析だ再送信”。 これは、再送信されたすべてのパケットを示しています。
次のステップは、”統計”タブの下にある”キャプチャファイルプロパティ”を開くことです。

統計セクションの下には、”キャプチャ”と”表示”の列が表示されます。
“表示された”列は、表示フィルタに基づいており、”キャプチャされた”データと比較した統計情報を示しています。

私はあなたに極端なケースを示すためにこの例を使用しました。 あなたは10,4%のパケットが再送信されていることがわかります。

パケット損失の何パーセントが重要であるかは、多くの要因に依存します。 異なる意見があります。
おそらく答えは正解ではありませんが、パケット損失が1%を超え、通信の遅延が大きい場合は、より良いチェックを開始する必要があります。

エキスパート情報を開きます

Wiresharksエキスパート情報は非常に便利で、パケットキャプチャで何をチェックするかのアイデアを与えます。
Wiresharkのドキュメントでは、次の声明”専門家の情報をヒントとして見る価値があるが、それ以上ではない”

これはまさにあなたがすべきことです。 私が最初にパケットキャプチャを分析したとき、専門家の情報は非常に有用であり、どの方向に分析すべきかのヒントを与えました。

“専門家”タブに移動し、”専門家情報”を選択します。 新しいウィンドウが開きます:

以前のバージョンのWireshark(v1)では、「警告」、「メモ」、「チャット」に関する概要がより明確になりました。

専門家の情報を開くために使用されます。 それは絶対にあなたを助けます!

往復時間グラフを開く

往復時間の意味についての短い要約:
RTTは、パケットが送信されてから回答が返されるまでの時間を意味します。

パケットキャプチャ解析では、RTTの高いパケットがあるかどうかを理解することが重要です。
それは我々が通信が遅いことに苦しむことを意味するだろう。

往復時間グラフを開くには、”統計”>>”TCPストリームグラフ”>>”往復時間”に移動します。

グラフはy軸にms単位のRTTを示し、x軸はパケットキャプチャが秒単位で実行されていた時間を示しています。

私のスクリーンショットのこのRTTグラフは重要ではありませんが、約60ミリ秒のRTTでうまく見えます。
遅いパケットを識別するためにY軸のスパイク

まとめ

投稿の冒頭に書いた文章を繰り返したい:
このスキルを持つには–パケットキャプチャを読むことによって問題がどこにあるかを知ることができることはあなたのためのプラスです。

この記事のいくつかの部分を考慮すると、Wiresharkでパケットキャプチャを分析することがより成功します!

詳細を知りたい場合は、Slackワークスペースに参加するか、メールを送信してください。

最新の滞在し、私のニュースレターを購読!

コメントを残す

メールアドレスが公開されることはありません。