Shikata Ga Nai

Private? There is no such things.

Wiresharkでエンドポイントのトラフィックを監視してみた

Hello there, ('ω')ノ


ネットワークを介して通信するデバイスは、エンドポイントと呼ばれて。

ローカルエリアネットワークのエンドポイントは。

MACアドレスである物理アドレスを使用して通信して。

スイッチ環境では、物理アドレスを使用して通信が行われて。

特定のエンドポイントからのネットワークトラフィックを監視するならば。

エンドポイントを識別するために。

統計メニューの終端(エンドポイント)オプションをクリックして。

 

f:id:ThisIsOne:20200713163717p:plain

 

下記の画像からだとエンドポイント数は、8が表示されているので。

同じ行数がメインペインに表示されて。

メインペインでは、

 転送されたパケットの総数

 転送されたバイトの総数

 個々のエンドポイントで送受信されたバイトとパケットの総数

など、具体的な詳細がすべてのエンドポイントに表示されて。

 

f:id:ThisIsOne:20200713171039p:plain

 

IPv4タブで、パケット列をを並べ替えると。

ほとんどのデータがIP 192.168.1.8から転送されたことが簡単にわかって。

これは、あるサーバと通信している単一のIPである場合もあったり。

ネットワーク上の複数のマシンと通信しているサーバである場合もあったりで。

 

f:id:ThisIsOne:20200713164933p:plain

 

さらには、このウィンドウから表示フィルタを作成するには。

転送されたパケットが最も多い行を右クリックで『選択済み』を選択して。

 

f:id:ThisIsOne:20200713165052p:plain

 

下記のようにリストペインにある表示フィルタに表示されて。

これで、特定のエンドポイントのトラフィックをすばやく分析できて。

一番上のタブは、ウィンドウ右下のEndpointタイプで追加ができ。

他のボタンはの目的は、以下のとおりで。

 

名前解決:

 Ethernetタブにリストされている各イーサネットアドレスの名前を解決して。


表示フィルタに制限:

 Wiresharkメインウィンドウを介して適用される表示フィルターに基づいて。

 エンドポイントウィンドウの結果を制限して。


コピー:

 現在の終端ウィンドウタブのコンテンツをCSV形式でコピーして。


地図:

 選択したエンドポイントの地理的位置をブラウザでマップして。

 

f:id:ThisIsOne:20200713165351p:plain

 

Best regards, (^^ゞ