何もしていない時に通信しているパケットが気になった
パソコンで何も作業していないのにピョコっという通信が発生していて気になったので、通信パケットの詳細内容を調べてみることにしました。
結果的にMicrosoft社との通信だったので問題なかったのですが、ハッキングされていないかたまにチェックした方が良いかもしれませんね。
Windows10 でパケット解析するなら Wireshark がおすすめ
簡単で動作が軽く、高性能なのにフリーウェアというありがたいソフトです。
自動の色分け機能が付いているので見やすいです。
私が使用したバージョンはWireshark-win64-3.2.2.exeです。
Wireshark公式ダウンロードページ
https://www.wireshark.org/download.html
Wiresharkはハードディスクが汚れにくいところが良い
Wiresharkはキャプチャログを一時ファイルで作成してくれますし、 アプリケーションを終了した時にちゃんと一時ファイルを消してくれる行儀の良いソフトなのでハードディスクが汚れなくて助かります。
一応書いておくと、一時ファイルは「C:\Users\ログインユーザー名\AppData\Local\Temp\wireshark_アダプタ名_日付_識別子.pcapng」に作成されます。
高価なソフトでも一時ファイルを消してくれない雑な作りのソフトが多いので、
IPアドレスを自動で逆引きする設定にしておくと解析しやすい
123.456.789.0みたいな数字の羅列(IPアドレス)で表示されると、どういったサービスと通信しているのか分かりづらいので、数字の羅列をドメイン名に置換(IPアドレス逆引き)してくれるオプションを有効にしておくと良いです。
やり方は、ファイルメニューから「編集(E)>設定…(P)>Name Resolution」を開いて「Resolve network (IP) addresses」にチェックを付ける。
日時を YYYY-MM-DD H:i:s形式 で表示するように変更すると見やすい
初期設定だと日本人には馴染みのない日付形式で表示されるので、馴染みのある日時形式で表示するように変更した方が見やすいです。
やり方は、ファイルメニューから「表示(V)>時刻表示形式」を開いて「日時 (1973-06-14 01:02:03.123456) Ctrl+Alt+1」を選択。
すべてのプロトコルをチェックしたい場合
私もそんなに使いこなしているわけではないので、何がどう省略されるのかよく分かりませんが、一応すべてのプロトコルを確認したいので、
ファイルメニューから「編集(E)>設定…(P)>Protocols」を開いて「Display hidden protocol items」にチェックを付けておきました。
備考:Npcapは必ずインストールしないとイーサネットアダプタが認識されない
普通にインストールすれば問題ないのですが、
私は使わない機能を入れたくない派なのでカスタムインストールしたら、
Npcapは必ずインストールしないとダメらしいです。
極力余計なものを省いてインストールする手順
1. 説明書やプラグインは別にいらないので、Wiresharkだけにチェックを入れる。
2. ファイルの関連付けもしなくていいので、スタートメニューとデスクトップだけにショートカットを作る。
3. Npcap 0.9986は必須。
4. USBキャプチャーは不要。
インストール途中で、Npcapのインストール画面が出てきますが、
Npcapを一緒にインストールすることで、
Wiresharkでイーサネットアダプタが正しく認識されるようになります。
以上、Wiresharkの紹介でした。
