Wiresharkの使い方

Wiresharkの使い方を間違えていませんか?

こんなことで困っていませんか?

  • Pcapファイルが大きくてWiresharkが起動しない
  • 長期間パケットキャプチャしたいが、ディスクがいっぱいになると停止してしまう。
  • Wiresharkでパケットキャプチャしたが、パケットロスしているかもしれない。
  • 様々な切り口で分析したいが、時間がかかる

Wiresharkの使い方を間違えていませんか?

使い方

フリーソフトウェアであるネットワークプロトコルアナライザ“Wireshark”には、とてもフリーソフトとは思えないような素晴らしい機能が実装されています。ネットワークエンジニアであれば誰でも使っている素晴らしいソフトウェアです。

しかし、効率的にパケットを解析する仕組みがないと膨大なデータが表示されるデコード画面の前で頭を抱えることになります。

障害解析のアプローチとWireshark

アプローチ 概要 Wiresharkの機能
情報を収集する 監視装置、ログ収集装置、パケット収集装置
  • パケットキャプチャ
特異点を見つける 時系列分析:全体を俯瞰し、トレンドを掴む
  • IOグラフなどのトレンドを把握できるグラフや統計データ
分析する 探索的分析:データをカテゴリ化して関連性を調査、様々な切り口で解析
  • 「分析」「統計」「テレフォニー」「ワイヤレス」などのメニュー
  • パケットデコード
原因を究明する 必要な部分のみを詳細分析し、証拠を保全する
  • パケットデコード

障害解析で、いきなりパケット分析することは滅多にないと思います。一般的には以下のような流れになるのではないでしょうか。

  1. トラブルの現象や問題点をヒアリング
  2. ログや監視ツールの情報を確認
  3. それでも分からない場合は、パケットデータを解析

そして、パケットデータの解析にも3つのプロセスがあります。

  1. 特異点を見つける。
    トラフィック全体を俯瞰して特異点を見つける
    (SNMPやNetFlowの統計データで代替できることもある)
  2. 様々な切り口で分析する
    TCP再送やパケットロス発生の有無、遅延原因切り分け、マイクロバースト調査、IP電話品質の確認、など様々な切り口で分析
  3. 原因を究明する
    分析の結果、怪しい部分があれば、デコード画面などで内容を確認し、証拠として該当の パケットデータだけを保存

以上のようなプロセスが一般的ではないでしょうか。

Wiresharkがすごいのは、どのプロセスでも活用できる機能があることです。
しかし、すべてのプロセスでWiresharkを中心に利用するのは、効率が悪く、オススメできません。

Wiresharkの弱点

では、先ほどの障害解析のアプローチに沿って、具体的にWiresharkの弱点を考えてみたいと思います。

アプローチ Wiresharkの機能 Wiresharkの弱点
情報を収集する
  • パケットキャプチャ
  1. 常時パケットキャプチャできない
  2. パケットロスすることがある
特異点を見つける
  • IOグラフなどのトレンドを把握できるグラフや統計データ
  1. Pcapファイルが大きいと開かないため、トレンド把握には向いていない
分析する
  • 「分析」「統計」「テレフォニー」「ワイヤレス」などのメニュー
  • パケットデコード
  1. 様々な切り口で分析しようと思うと時間がかかる場合がある
原因を究明する
  • パケットデコード
大きな弱点はない

長期間パケットキャプチャできない

ご存じのように、Wiresharkは、常時パケットキャプチャ用のソフトウェアではないため、HDDがPcapファイルでいっぱいになったところでキャプチャが止まってしまいます。トラブルが発生してからパケットをキャプチャしても現象を捉えることができないという問題もあるため、常時パケットキャプチャには専用装置を利用することをオススメします。

パケットロスすることがある

意外に知られていないのですが、Wiresharkはトラフィック流量が多い時にパケットを取りこぼしてしまう場合があります。正確にキャプチャできなければ、正確な分析結果は得られないため、トラフィックの多い環境では専用装置を利用することをオススメします。

Pcapファイルが大きいと開かないため、トレンド把握には向いていない

トレンド把握のためには、一定期間のパケットデータが必要になります。そのためPcapファイルサイズがギガバイトを超える事もあります。ノートパソコンなどにインストールしたWiresharkでは、数ギガバイト以上のPcapファイルを開く事ができないため、トレンドを把握には向いていません。

様々な切り口で分析しようとすると、時間がかかる

Wiresharkでもこの問題は認識しているようで、Riverbed SteelCentral Packet Analyzerという有償の分析ソフトウェアとの併用を勧めています。SteelCentral Packet Analyzerは素晴らしいGUI分析ツールです。TCP再送率、ウェブサーバのレスポンスタイム・マイクロバースト(ミリ秒単位)・DNSのレスポンスタイム、IP電話の品質確認、CIFSのパフォーマンス確認など様々な分析が簡単にできます。

Wiresharkのヘビーユーザーである
私たちが欲しいと思うものを作りました

私たち、株式会社テリロジーは、設立から26年間、
お客様のネットワーク障害の原因を調査・特定し、迅速に復旧するサポートサービスを提供しつづけています。

そのWiresharkのヘビーユーザーである私たちが欲しいと思うものを作りました。
それが、momentum Probe Type-A です。

Type-A 255万円

momentum Probe Type-Aのツール群

All in One

momentum Probe Type-Aは、パケット解析に便利なツールが詰まったオールインワン解析ツールボックスです。

解析プロセスが先に進むとデータ量が絞り込まれ、Wiresharkは解析の最終段階だけで利用するように設計されています。

障害解析の
アプローチ
momentum Probe
Type-Aのコンポーネント
特徴 解析対象の
データサイズ
情報を収集する momentum Probe
  • 常時パケットキャプチャ
  • 高性能パケットキャプチャ
↓
特異点を見つける momentum Orca
  • トレンドグラフ表示
  • グラフからPcapダウンロード
分析する Riverbed SteelCentral Packet Analyzer
  • 様々な切り口で分析できるGUI
  • Wiresharkとシームレスに連携
原因を究明する Wireshark
  • パケットデコーダー
  • Pcapファイルを証拠保全

高価な装置は費用対効果が説明できないので、購入許可が下りない。
パケットを解析できる人が少ないので、分析サービスも提供してほしい。

という方にも、ご検討いただけるように momentum Probe Type-Aと年2回のパケット分析サービスを合わせて、
ご提供しています。お気軽にお問い合わせください。

カタログをご希望の方は
こちらからご請求ください
操作する様子を見たい方は
こちらからお申込みください
  • Wiresharkは、Wireshark Foundation, Inc.の登録商標です。
  • SteelCentralは、Riverbed Technology, Inc.の商標登録です。

Terilogy HOME > momentum TOP > トピック:Wiresharkの使い方を間違えていませんか?

デモ
momentum
オンラインデモ予約

「説明を聞きながら時間をかけずに理解したい」という方には、オンラインデモをご用意しています。日本全国どこでも、ご覧いただけますので、お気軽にお申込みください。

デモを予約する
デモ
momentum DNS viewer
今すぐ体験する

「自分で操作してみたい」という方には、セルフデモをご用意しています。今すぐDNS viewerを体験してください。

今すぐ体験する
資料請求
資料請求

momentumのカタログを
お届けします。

資料を請求する
テリロジーに相談
お問い合わせ

ご不明な点がありましたら、
お気軽にご連絡ください。
お急ぎの方は 03-3237-3291 へお電話ください。

ウェブからお問い合せ

トップへ