Wiresharkでできること、できないこと

エンジニアノート

 

一般的にパケットキャプチャツールといえば、まず「Wireshark」を思い浮かべる方が多いのではないでしょうか。
ネットワークのお仕事に携わっている方であれば、一度は耳にしたことがある名前だと思います。
オープンソースソフトウェアですので、だれでも手軽に使うことが可能です。
もし使ったことがない方は、こちらから試してみてはいかがでしょうか。インストールに際し、面倒なユーザ登録等は一切必要ありません。

さて、今回は、そのWiresharkでできることとできないこと、どんなときに有償ツールが必要となるかについて解説します。

Wiresharkの基本機能

Wiresharkには、大きく分けて2つの機能があります。「パケットキャプチャ機能」と「表示・解析(プロトコルアナライザ)機能」です。

Wiresharkのキャプチャ機能は、Npcap(Windows用)、Libpcap(Linux用)というドライバを介しておこないます。
Ver.2.x以前は、Windows用にはWinpcapが使われていましたが、Winpcapの今後のメンテナンスが期待できないことから、Ver.3.xでNpcap変更となりました。
NICで確認されたフレームをWiresharkに取り込むことためには、ドライバは必須です。
ちなみにWinpcapからNpcapに変わったことにより、WindowsでもLocalhost通信のキャプチャが可能になっています。この機能はサーバの検証などでは便利です。

もうひとつは、表示・解析をする機能です。取得したパケットをいろいろな角度から情報を分析する機能です。
こちらはもう説明不要ですね。各レイヤーでの翻訳をはじめ、統計情報、グラフ表示など役に立つ機能はたくさんあります。
無償でこのような充実した機能が使えるのは、本当に素晴らしいことです。

なぜ有償ツールが必要か

では、Wiresharkがあるのになぜ有償のツールが必要なのでしょうか。
その理由は主に3つあります。

  1. パフォーマンスの保障
  2. 独自のデータ解析
  3. 充実したサポート体制

パフォーマンスの保障

Wiresharkはたしかにキャプチャ機能がありますが、高負荷なトラフィックを連続してキャプチャすることは難しいです。
1Gbpsくらいであれば汎用的なハードウェアの組み合わせでできる可能性がありますが、10Gbpsくらにになると専用のハードウェアとアーキテクチャを使用しなければ、ロスなくキャプチャし続けることは難しいでしょう。
キャケットキャプチャの場合、キャプチャデータから、パケットがそもそも存在しなかったのか、ツールでパケットがロスしたか、を判断することは困難である場合が多いです。

その点、有償ツールははじめからパフォーマンスを保障しています。ですので、はじめから用途にあった製品を選定することが可能です。

独自のデータ解析

Wiresharkのパケット分析機能はとても素晴らしいですが、大量のパケットからなにが起こったのかを大まかに把握することは少し苦手です。
パケットに含まれているデータを連続的に解析することは、既存のOSSと組み合わせたりソフトウェアを自作すれば可能かもしれませんが、結局コストがかかります。

有償ツールは、初めから大量のデータを取得する前提で統計情報やグラフ表示などの機能が備わっています。
そしてそこから必要なでデータだけを取り出して、Wireshark等で解析を行うことができるように設計されています。

サポート体制

長期間使用する製品であれば、サポートは重要です。運用している最中に深刻な脆弱性が発見されるかもしれません。OSやサードパーティパッケージ等もバージョンアップしていきます。
有償ツールの場合は、サポートポリシーが明確に決まっており、それらのことについては、大抵の場合考慮されています。

パケットキャプチャ製品「SYNESIS」について

当社では、パケットキャプチャ製品「SYNESIS」の開発、販売を行っています。
お陰様で、日本だけでなく現在では世界17の国と地域で販売しています。

2022/01/26 【ニュースリリース】海外での受注実績、前年比200%と好調に推移 ~専門の海外販促プロジェクトを発足、3か年で3億円売上を目指す~

SYNESISは高速回線で大容量にパケットロスなくキャプチャができる製品です。
キャプチャしたパケットをどのようなトラフィックが含まれていたかを可視化できるグラフや統計的なレポート作成など、長期間、連続したキャプチャを前提とした解析機能があります。
また、Wiresharkは出荷時にインストールされていますので、SYNESIS上でもWiresharkの優れた解析機能を利用できます。

保守サポート体制についても万全です。通常保守のほかに24/365日保守、長期保守などご要望に応じたメニューに対応することも可能です。
保守契約締結中は、製品の障害対応だけでなく、脆弱性対策、バージョンアップソフトウェアの提供、お問い合わせ対応などを一括でサポートしますので、安心してお使いいただけます。

まとめ

Wiresharkでパケットキャプチャの重要性を理解されたら、ぜひその有償ツールも検討してみてください。
Wiresharkと組み合わせることで、よりパワーアップしたパケットキャプチャ、解析が可能となります。

関連記事

note_addパケットキャプチャ関連

TAP vs SPAN どちらを使う?

パケットキャプチャをする前に知っておきたいこと

ネットワークの遅延とは?パケットキャプチャからみる遅延

Wiresharkでできること、できないこと(本記事)

note_addSYNESIS開発

パケットキャプチャを支える高速データ書き込み技術 ~SYNESIS誕生から7年目を迎えて~