Windowsでパケットキャプチャをする3つの方法!【標準コマンドでもできる】

Windowsでパケットキャプチャをする方法は3つあります。Wiresharkを利用することが最も一般的ですが、Windowsの標準コマンドでもパケットキャプチャを取得できることを知っていますか?

ここでは、Windowsでパケットキャプチャをする3つの方法とあわせて、それぞれの方法の具体的な手順について解説していきます。

 

■Windowsでパケットキャプチャをする3つの方法 

 

OL・デスクワーク(白バック)

Windowsのパソコンやサーバーを使ってパケットキャプチャをする方法は、次の3つが考えられます。

・Wiresharkを利用する

・Microsoft Message Analyzerを利用する

・netshコマンドを利用する

Wiresharkは、サードパーティ製のパケットキャプチャソフトであり、パケットキャプチャをするツールとしては最も有名なものです。Microsoft Message Analyzerは、Windowsの開発元であるMicrosoftが提供しているツールであるため、安心感があります。

最後に、netshコマンドですが、こちらはWindowsの標準コマンドであり、別途インストールなどが不要ですぐに利用可能です。注意点としては、管理者権限が必要になります。

Windowsでパケットキャプチャをする場合、特に制限がないのであればWiresharkを利用することをおすすめします。サードパーティ製のソフトウェアを利用したくない、ソフトウェアを新規にインストールしたくない、といった場合には、Microsoft Message Analyzerやnetshコマンドを利用するとよいでしょう。

 

■Wiresharkの使い方 

Wiresharkは、GUIで視覚的にパケットキャプチャができるところが特徴です。パケットキャプチャツールとしてはデファクトスタンダードであるともいえ、利用者も多く非常に有名なツールとなっています。

Wiresharkの使い方について、インストール方法から実際の利用手順まで解説します。

◇Wiresharkをインストール

Wiresharkのインストール手順は次のとおりです。

  1. 公式ダウンロードページからダウンロード
  2. ダウンロードしたファイルを管理者権限でインストール
  3. Wiresharkのインストール、あわせてWinPcapもインストールする

インストールはダウンロードしたファイルを実行するだけなので、簡単に行えます。注意点として、管理者権限でインストールすることに加え、WinPcapもあわせてインストールすることの2点を忘れないように気をつけましょう。

◇キャプチャ対象インタフェースを選択して開始

Wiresharkでは、コンピュータのLANインタフェース上に流れるパケットをリアルタイムにキャプチャできます。LANスイッチのミラーポートに接続して利用することも多いです。

基本的には、キャプチャ対象のLANインタフェースを選択して、[キャプチャ]-[開始]をクリックするとパケットキャプチャを開始します。停止するまでキャプチャし続けるため、終了する際は停止することを忘れないようにしましょう。

リアルタイムでパケットキャプチャできるだけでなく、事前に取得したキャプチャファイルを開くことも可能です。

 

■Microsoft Message Analyzerの使い方 

Microsoft Message Analyzerは名前のとおり、Microsoftの正式なパケットキャプチャツールです。こちらもWiresharkと同じく、GUIで視覚的にリアルタイムなパケットキャプチャが可能となっています。日本語版はなく、英語版での利用となりますので英語に自信がない場合には、翻訳ツールを用意しましょう。

Microsoft Message Analyzerについて、インストール方法から実際の利用手順まで解説します。

◇Microsoft Message Analyzerをインストール

Microsoft Message Analyzerのインストール手順は次のとおりです。

  1.  公式ダウンロードページからダウンロード 
  2. ダウンロードしたファイルを管理者権限でインストール

Wiresharkと同じく、管理者権限でインストールしなければならない点には注意が必要です。すべて英語表記になりますが難しく考えず、表示される指示に従ってインストールを進めましょう。

◇Start Local Traceボタンをクリックして開始

基本的な使い方はWiresharkと同じで、コンピュータのLANインタフェース上に流れるパケットをリアルタイムにキャプチャできます。パケットキャプチャを開始する際は、「Start Local Trace」ボタンをクリックします。こちらも停止するまでキャプチャし続けるため、終了する際は停止することを忘れずに。

Microsoft Message Analyzerでは、Wiresharkやnetshコマンドで取得したキャプチャファイルを開くことができます。事前に取得したキャプチャファイルを分析したい場合に、利用するとよいでしょう。

 

■netshコマンドの使い方 

netshコマンドはWindowsの標準コマンドであるため、追加インストールは不要です。Windows7、Windows Server 2008 R2以降のWindowsには、はじめからインストールされています。

コマンドであるためGUIでの操作はできず、キャプチャはバックグラウンドで取られます。また、キャプチャ取得中はキャプチャ内容を確認することができません。

このような欠点を解消するために、先に紹介したMicrosoft Message Analyzerと組み合わせて利用するとよいでしょう。

◇パケットキャプチャを開始

パケットキャプチャを取得する手順を解説します。

  1. コマンドプロンプトを管理者権限で開く
  2. 「netsh trace start capture=yes」コマンドでキャプチャを開始

デフォルトのキャプチャファイルの保存場所は「C:\Users\<ユーザー名>\AppData\Local\Temp\NetTraces\NetTrace.etl」となります。ファイルの保存場所を変更したい場合は、「tracefile=<ファイルパス>」をコマンドに追加しましょう。

たとえば、「C:\capturefile.etl」として保存する場合は、「netsh trace start capture=yes tracefile=C:\capturefile.etl」となります。

◇パケットキャプチャを停止

パケットキャプチャを停止する場合は、「netsh trace stop」コマンドを入力してください。デフォルトでは、ファイルサイズが250MBに到達すると自動的に停止するようになっています。

取得したパケットキャプチャファイルは、そのままでは分析することができません。WiresharkやMicrosoft Message Analyzerを使ってファイルを開き、GUI上で分析を行いましょう。

 

■基本的にはWiresharkを利用する

Windowsでパケットキャプチャを行う方法は、「Wireshark」「Microsoft Message Analyzer」「netshコマンド」の3つがあります。なかでも、Wiresharkはパケットキャプチャツールとしてデファクトスタンダードといえるツールですので、ぜひ使い方を覚えておきましょう。

なんらかの理由でWiresharkが利用できない場合は、Microsoft Message Analyzerやnetshコマンドを使ってパケットキャプチャを行うとよいでしょう。