Ethereal_キャプチャの手順

このページは乱ことNobuoNakakoが運用する「Etherealを使おう」の一部です。お時間があれば表紙も訪れてやってください

リンク等についてはこちら。間違いを見つけた時や「ここはこうした方が良い」等の意見は遠慮なくこちらまで。

The Ethereal manual　（WINDOWS&UNIX Var0.9.13）

キャプチャの手順

調査

ここではまずEtherealの基本的なキャプチャ開始を下記手順にて紹介していきたいと思います。

１．Etherealを起動する
２．[Capture Options]画面を出す
３．通信デバイスを選択する
４．自分のパケットか他人のパケットのどちらをキャプチャしたいのか決める
５．結果を保存しながらキャプチャするかどうか決める
６．リアルタイムでキャプチャを見るかどうかを指定する
７．キャプチャに時間や容量の制限をかけるかどうか決める
８．名前解決の設定をする
９．キャプチャをスタートする
10．キャプチャを止める

Etherealを起動する

まずインストールしたEtherealを起動します。起動は下記のアイコンをクリックします。（詳しくはEtherelのインストール・起動を参照）

下記の様なウィンドウが立ち上がったと思います。

[Capture Options]画面を出す

１．「Capture」の「Start...」をクリックします。

２．下記の様なウィンドウが立ち上がった事を確認して下さい。

通信デバイスを選択する

まず必ずやらなければならないのがLANボート等の通信デバイスを選択です。

上記の「Capture」にある「Interface」にあるをクリックする事により選択が可能です。

自分のパケットか他人のパケットのどちらをキャプチャしたいのか決める

自分宛を含む他のPC宛のパケットもキャプチャしたい場合は[Capture]の[Capture Packets in promiscuous mode]のチェックを入れます。

もし自分のPCが発信するパケットや自分宛に送られてくるパケットのみをキャプチャしたい場合はこのチェックを外します。チェックを入れておいても自分のPC関連のパケットもキャプチャしますが非常に分かりづらくなる可能性があります。

もし自分宛のパケット以外のみをキャプチャしたい場合は[Capture Packets in promiscuos mode]の下にある[Filter]欄に下記の様に記載します。

!(ip host 自分のIPアドレス)and!(ether host 自分のMACアドレス)

例えば自分のIPアドレスが192.168.1.51でMACアドレスが00:01:42:cb:e2:84の場合は下記の様に記載します。

!(ip host 192.168.1.51)and!(ether host 00:01:42:cb:e2:84)

自分のIPアドレスやMACアドレスを知りたい場合は下記の様にします。

●WINDOWSの場合

MSコマンドプロンプトを出します。（だいたいはスタートのプログラムの中、若しくはアクセサリの中にあります。）

そのままipconfig /allと入力します。WindowsのバージョンによりますがIPとMACアドレス（-で2文字ずつ区切られた12桁の英数字）

●UNIX（Solaris）の場合

#ifconfig -aと入力します。各NICのMACアドレスとIPが表示されます。

結果を保存しながらキャプチャするかどうか決める

[Capture file]の[File]欄に保存先を指定するとキャプチャと同時に結果を保存します。

保存場所の指定の仕方については「キャプチャ結果の保存」を参照して下さい。

もしキャプチャをする時間が短い（10分ぐらい）場合や重要でないなら後で保存した方が良いと思われます。

後で保存する場合は「キャプチャ結果を保存する」を参照して下さい。

リアルタイムでキャプチャを見るかどうかを指定する

キャプチャの結果を見方としてはキャプチャを止めてから結果を表示する方法とキャプチャの状態をリアルタイムで確認する方法の2通りが存在します。

指定は[Display options]で指定します。

詳細は「結果のリアルタイム表示」を確認して下さい。

キャプチャに時間や容量の制限をかけるかどうか決める

一応[Capture limits]でキャプチャデータ自体に容量や時間的な制限をかける事ができます。

基本的にはチェックを入れなくても良いと思われます。長時間（何日も）する場合はHDD等の容量的な問題が発生する為、その場合は必要になるかもしれません。

詳細は「キャプチャ容量の制限設定」で紹介しています。

名前解決の設定をする

名前解決の設定を[Name resolution]で行います。

これはEtherealの処理に非常に影響します。従って特にこだわりがなければ[Enable transport name resolution]のみのチェックにしておけばスムーズにキャプチャが進みます。名前解決はキャプチャした後でも行えますし、保存してファイルで開く時にもできます。

これの詳細は「キャプチャの名前解決」で説明しています。

キャプチャをスタートする

上記のからまでの設定ができたら[OK]をクリックします。

上記の様なウィンドウが登場するかと思います。

もしここでのリアルタイム表示をONにしていればキャプチャの様子が画面にて確認できると思います。だだしの名前解決で[Enable transport name resolution]以外のチェックを入れている場合はその反応が異常に遅いと感じられます。

キャプチャを止める

キャプチャを止めるのは上記のウィンドウの[Stop]をクリックする時です。

もしの名前解決で[Enable transport name resolution]以外のチェックを入れている場合は結果が表示されるまでに非常に時間がかかります。

以上でEtherealの画面にキャプチャ結果が表示されると思います。

その他の詳細な使い方はメインのマニュアルを参照していただくかFAQを参照して下さい。

Copyright 2003 by Nobuo Nakako All right reserved.

　

　

　