windows:wireshark

Wireshark (旧 Ethereal)

Wiresharkはネットワーク プロトコル アナライザ(Network Protocol Analyzer)である。

Scoop によるインストール。
ダウンロード元として extras バケットを追加する。

$ scoop bucket add extras
Checking repo... ok
The extras bucket was added successfully.

Wireshark をインストールする。

$ scoop install wireshark
Installing 'wireshark' (3.2.4) [64bit]
WiresharkPortable_3.2.4.paf.exe (34.9 MB) [===============================================] 100%
Checking hash of WiresharkPortable_3.2.4.paf.exe ... ok.
Extracting dl.7z ... done.
Linking ~\scoop\apps\wireshark\current => ~\scoop\apps\wireshark\3.2.4
Creating shim for 'capinfos'.
Creating shim for 'captype'.
Creating shim for 'dumpcap'.
Creating shim for 'editcap'.
Creating shim for 'mergecap'.
Creating shim for 'randpkt'.
Creating shim for 'rawshark'.
Creating shim for 'reordercap'.
Creating shim for 'text2pcap'.
Creating shim for 'tshark'.
Creating shim for 'Wireshark'.
Creating shortcut for Wireshark (WiresharkPortable.exe)
Persisting Data
'wireshark' (3.2.4) was installed successfully!
Notes
-----
WinPcap was replaced by Npcap.
Run 'scoop install nmap' (from a elevated shell) to install 'Npcap' automatically,
or run 'scoop install nmap-portable' and then install the 'npcap-oem.exe' from the 'nmap-portable'
directory manually.
'wireshark' suggests installing 'nmap'.
ノート
-----
WinPcap は Npcap に置き換えられました。
'scoop install nmap' (昇格されたシェルから) を実行して、'Npcap' を自動的にインストールします。
または 'scoop install nmap-portable' を実行してから、'nmap-portable' から 'npcap-oem.exe' を手動でディレクトリにインストールします。
'wireshark' は 'nmap' のインストールを推奨しています。

nmap をインストールする。

$ scoop install wireshark
Installing 'nmap' (7.80) [64bit]
nmap-7.80-setup.exe (25.7 MB) [===========================================================] 100%
Checking hash of nmap-7.80-setup.exe ... ok.
Running installer... done.
Installer added '~\scoop\apps\nmap\7.80' to path. Removing.
Linking ~\scoop\apps\nmap\current => ~\scoop\apps\nmap\7.80
Creating shim for 'nmap'.
Creating shim for 'ncat'.
Creating shim for 'ndiff'.
Creating shim for 'zenmap'.
Creating shim for 'nping'.
Creating shortcut for Nmap - Zenmap GUI (zenmap.exe)
'nmap' (7.80) was installed successfully!
Notes
-----
'Npcap' has been installed automatically.
  1. Wireshark: Go deep.Download - Get Started Now を開き、Stable Release (x.x.x) の Windows Installer をクリックして wireshark-win64-x.x.x.exe をダウンロードする。
  2. wireshark-win64-x.x.x.exe を実行してインストールを行う。
    • セットアップ ウィザードに対して、すべて[Next >]ボタンで応えてインストール。

 Windows XP では、Wireshark の Capture Interfaces の画面に ループバック インタフェース(Loopback interface - 127.0.0.1)が表示されない。(Windows Server 2003 では MS TCP Loopback interfase、Linux では lo と表示される)

 ここでは、MS Loopback Adapter を利用して、Windows XP にてループバック インタフェースをキャプチャする方法を説明する。

  1. MS Loopback Adapter をインストールする。
    1. [コントロール パネル]→[ハードウエアの追加]→[次へ]。
    2. [はい、ハードウェアを接続しています]を選んで[次へ]。
    3. [インストールされているハードウェア]から[新しいハードウェア デバイスの追加]を選んで[次へ]。
    4. [一覧から選択したハードウェアをインストールする]を選んで[次へ]。
    5. [ネットワーク アダプタ]を選んで[次へ]。
    6. 製造元: Microsoft の Microsoft Loopback Adapter を選んで[次へ]。
  2. MS Loopback Adapter の設定。
    1. MS Loopback Adapter のローカルエリア接続のプロパティを開く。
    2. IPアドレス: 192.168.0.1、サブネット: 255.255.255.0 に設定。(IPアドレスは未使用のものであれば何でもよい)
    3. コマンド プロンプトにて、以下のコマンドを実行する。
      > ipconfig /all   →loopbackのMACアドレスを調べる。
      Ethernet adapter ローカル エリア接続(Loopback):
      
              Connection-specific DNS Suffix  . :
              Description . . . . . . . . . . . : Microsoft Loopback Adapter
              Physical Address. . . . . . . . . : 02-00-4C-4F-4F-50
              Dhcp Enabled. . . . . . . . . . . : No
              IP Address. . . . . . . . . . . . : 192.168.0.1
              Subnet Mask . . . . . . . . . . . : 255.255.255.0
              IP Address. . . . . . . . . . . . : fe80::4cff:fe4f:4f50%6
              Default Gateway . . . . . . . . . :
              DNS Servers . . . . . . . . . . . : fec0:0:0:ffff::1%1
                                                  fec0:0:0:ffff::2%1
                                                  fec0:0:0:ffff::3%1
      > arp -s 192.168.0.1 02-00-4C-4F-4F-50 →ARPテーブル追加(自分で調べたMACを入力)
      > arp -a                               →確認する
      Interface: 192.168.0.1 --- 0x10004
        Internet Address      Physical Address      Type
        192.168.0.1           02-00-4c-4f-4f-50     static
      > route -p add 192.168.0.1 192.168.0.1 mask 255.255.255.255 →Routeintテーブル追加
      > route print                                               →確認する
      ===========================================================================
      Interface List
      ~省略~
      ===========================================================================
      Active Routes:
      ~省略~
      ===========================================================================
      Persistent Routes:
        Network Address          Netmask  Gateway Address  Metric
            192.168.0.1  255.255.255.255      192.168.0.1       1
  3. ARPテーブルはリブートすると消えてしまうので、arpコマンドはbatファイル化しておくと良い。
    [arp_regist.bat]
    arp -s 192.168.0.1 02-00-4C-4F-4F-50

 上記の手順で MS Loopback Adapter をキャプチャすることで、ループバック インタフェースをキャプチャするのと同じ結果が得られる。

  • windows/wireshark.txt
  • 最終更新: 2022/08/26 06:46
  • by ともやん