「Wireshark」と「tcpdump」の違いは? どう使い分ける?:パケットキャプチャー入門【後編】
パケットキャプチャーツールとして、GUIのある「Wireshark」とCLIで利用する「tcpdump」がある。両者はどのように使い分けるのが効果的なのか。
「Wireshark」と「tcpdump」はどちらもパケットキャプチャーツールだ。両者には重複する機能があるが、幾つか異なる特徴もある。ネットワーク管理者は状況に応じて使い分けるべきだ。どのような場合にWiresharkが適しているのか。
tcpdumpよりもWiresharkを使うべき時は?
併せて読みたいお薦め記事
連載:パケットキャプチャー入門
LANのパケットを分析する
Wireshark
Wiresharkのユースケース(想定される使用例)は次の通り。
- トラフィック(ネットワークを流れるデータ)の識別
- 管理者は、トラフィックを識別する必要がある場合、Wiresharkを使用するのがいいだろう。Wiresharkは送信元と宛先のアドレスを表示するため、トラフィックが発生する場所やセグメント上のシステムを簡単に確認できる。
- パフォーマンス管理
- Wiresharkは、ネットワーク管理者がパフォーマンス管理を最適化するのに役立つ。例えば、ネットワーク管理者が、特定のセグメントでネットワークのパフォーマンスが低下しているというヘルプデスクからのメッセージを大量に受け取った場合、WiresharkをインストールしたノートPCをそのセグメントに接続してトラフィックを収集できる。
- 例えばレプリケーション(複製)作業などによってファイル転送のジョブが大量に発生して、ネットワークの帯域を逼迫(ひっぱく)しているなど、遅延を発生させている原因を特定するのに役立つ。
- フィルタリング
- Wiresharkの「Statistics」(統計)メニューには複数のパフォーマンス分析機能が含まれている。
- ネットワーク管理者は「IO Graphs」(I/Oグラフ)を表示したり、「Protocol Hierarchy」ビューを使用してネットワーク上で見つかった各プロトコルの割合を確認したりできる。
tcpdump
tcpdumpのユースケースは次の通り。
- GUIがないシステム
- コマンドラインインターフェース(CLI)で動作するため、GUIのないシステムでも利用できる。
- 迅速なキャプチャー
- ネットワーク管理者は、最初のキャプチャーにtcpdumpを使用することがある。
- tcpdumpは比較的リソース消費量が少なく、短時間でのキャプチャーに適しているからだ。
- 自動化
- コマンドラインツールであるため、スクリプトに組み込んだり、他のツールと連携させて自動化したりするのに適している。
Wiresharkとtcpdumpの統合
Wiresharkとtcpdumpはよく似たタスクを実行するが、ネットワーク管理者は1つの種類のパケットキャプチャーツールに限定する必要はない。両方に精通し、いつどちらを使用するのかを知っておくべきだ。
例えば、ネットワーク管理者は、tcpdumpを使用してキャプチャー結果をファイルに書き込み、それらをWiresharkで開いてフィルタリングできる。ネットワーク管理者はGUIのないLinuxのサーバでtcpdumpを使用してパケットをキャプチャーし、その結果をOSの「macOS」「Windows」などを搭載した端末のWiresharkで分析することがある。
まとめ
ネットワーク管理者は、パケットキャプチャーツールをセキュリティ対策用のツールとして考える傾向にある。しかし実際は、ネットワークチームがトラブルシューティングを行ったりホストを特定したり、ネットワークパフォーマンスの問題を調査したりするのにも役立つ。
Wiresharkはシンプルで複数のOSに導入可能で、高度なフィルタリング機能を備えている。一方tcpdumpは、軽量でスクリプトを作成しやすい。管理者は、各ツールをいつ、どのように使用するかを知ることで、より良い結果を得ることができる。
TechTarget発 世界のインサイト&ベストプラクティス
米国Informa TechTargetの豊富な記事の中から、さまざまな業種や職種に関する動向やビジネスノウハウなどを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.