ネットワークパケットを収集分析するWireShark

wiresharkMacユーザーのダウンロードは英語版しかない模様。(日本語版あったらおしえてください。)Windowsユーザーはググるとすぐダウンロードサイトが見つかりますので割愛。
Internetの世界というのは何というか武術みたいなもので守りと攻めが同じ意味をもっていたりするわけで、ここら辺りはなかなかその利用目的が難しいところではあるわけですが、逆にいうと日本刀を使いこなすにもこれまた洗練された技術がいるようにネットの技術もそれなりに危険な技術にはそれなりに敷居が高いものです。一般的な名称がNetwork Protocol Analyzerですが、要はネットワークダンプをパケット単位でできちゃうというものです。

Mac版のWireSharkをダウンロードします。ローカルにWireshark 1.8.7 Intel 64.dmgというファイルが上がってきます。開くとWireshark 1.8.7 Intel 64.pkgがあるのでクリックしてインストール開始。アプリケーションフォルダに自動的に入ってくるので、インストールが終わったらそれをクリックします。この世とは思えないほどのださいデザインの画面が開きますが壊れているわけではありませんし、レスキューモードになっているわけでもありません。エンジニアとはこれぐらいのデザインでちょうど良いのです。

基本的な使い方

ネットワークダンプをするインターフェイスを選択します。Fileメニューの真下にあるなんだかよくわからないアイコンでインターフェイスを選択できます。この時点ですでにインストールしたマシンのネットワークインターフェイスを見に行ってますので、試しにこのままの状態でブラウザーを立ち上げて任意のサイトにアクセスすると送受信のパケットの値が変化してゆくと思います。たいていの場合は自身のPCのIPアドレスとループバックがデフォルトで設定されています。
ws_interface
en1とか辺りが自分のIPアドレス、lo1がループバックみたいな感じです。略語ばっかりで面倒ですが、en1はethernet1とかlo1はlocalhost1みたいな意味なんでしょう。
そのままバラバラと表示させておくと、Dropboxが同期はじめたり、Googleのクローラーがやってきたり、いろんなことを勝手にやっているのがわかります。173.194.38.111, 74.125.235.168(Google)が何度も何度もきてます。何やってんでしょう。203.189.109.206(GMO)もきてました。何やってんでしょ。ドイツのISPも来ていたし、いろんなところといろんな接続をやってます。勿論FTPで繋げるとその情報も出てくるし、SSHなどで接続するとその情報も出てきます。
この時点でネットワークインターフェイスの根元のところでどんなパケットがどんなプロトコルでやり取りされているのか全部見て取れます。
networkdumper