Wireshark 1.8 でちょっと変更された事

---

Wireshark
http://www.wireshark.org/

---

定評のあるパケットキャプチャ&アナライザー Wireshark のバージョン1.8 が 6/21 にリリースされています。市販の解説書も多く、「ネットワーク パケットを読む会(仮)」でも使い方を紹介している Wireshark ですが、このバージョンでよく使う機能あの一部がちょっと変更になっていますので、解説しておきたいと思います。

最初に気づくのはキャプチャの開始手順でしょう。1.68 までのバージョンでは、スタート画面に表示されているインターフェイスの一覧から、パケットを採取したい物をクリックするとキャプチャが開始されました。これに対して 1.8 では一覧でインターフェイスをクリックして選択した上で、その上の [Start] をクリックする必要があります。

(左が 1.68、右が 1.8。少し変更されている)

またキャプチャ フィルタの設定などを行う [Capture Options] も変更されています。1.68 までは画面上部のドロップダウン リストからキャプチャするインターフェイスを選択し、そのすぐ下でキャプチャ フィルタを含む詳細設定を行うようになっていました。ところが 1.8 では画面上部にはインターフェイスの一覧が表示されているだけで、キャプチャ フィルタの設定などの設定が無くなっています。

(左が 1.68、右が 1.8。上部の内容が大きく変わっている)

それでは 1.8 でキャプチャ フィルタなどのキャプチャ時設定を行うにはどうするのかというと、インターフェイスのリストで設定したいインターフェイスをダブルクリックします。ダブルクリックするリストは [Capture Options] のダイアログでも、スタート画面のリストでもどちらでも構いません。すると次のような設定画面が表示されます。

こちらに 1.68 まで [Capture Options] ダイアログにあったキャプチャ 設定があります。キャプチャ フィルタもこちらから設定できます。

なぜこのような変更が行われたのかと言うと、Wireshark 1.8 では複数のインターフェイスでの同時パケット キャプチャが可能になったからです。これまでのバージョンではキャプチャを実行するインターフェイスを 1つだけ選択し、キャプチャ設定を行い、実行するという流れでした。これに対して 1.8 では複数のインターフェイスでのキャプチャの際にインターフェイスごとにキャプチャ設定が行えるようにするため、インターフェイスをダブルクリックしてそのインターフェイスに対する (キャプチャ フィルタなどの) 設定を行っておき、キャプチャを実行するインターフェイスを選択し、、キャプチャを実行するという流れに変わっています。そのため複数のネットワークインターフェイスがあるコンピュータでは、下のスクリーン ショットのように [Capture Options] ダイアログにもインターフェイスの一覧が表示され、チェックボックスで選択できるようになっています。また [Capture on all interface] や [Capture all in promiscous mode] という設定項目も用意されています。

またリモート インターフェイスの設定は、[Manage Interfaces] ボタンをクリックすると表示されるダイアログにあります。このダイアログを見ると通常のインターフェイスの他に名前付きパイプもインターフェイスとして追加できるようです (試していないのでどのような動作になるのかは未確認ですが)。