WireShark

WIndowsでLANパケットをキャプチャする定番ソフトにEtherealというのがあるんですが、最新はWireSharkというソフト名でメンテされているようです。

 Wireshark: The World's Most Popular Network Protocol Analyzer:

 http://www.wireshark.org/

で、最近WireSharkを使いはじめたのですが、リアルタイムにキャプチャ結果が画面に出るようになって、ちょー便利です。

使ってたEtherealが少し古かったのか、キャプチャ結果がリアルタイムでは表示できなかったんですよね。Windows Server 2003 付属のネットワークモニタもそうで、うまくデータがとれてるんだかとれてないんだか、止めないとわかんなかった。NIC(ネットワークカード)が一枚だとまちがいないんだけど、NIC2枚以上の場合は、よく間違えるんですよね。

あと、キャプチャの準備画面のNICを選ぶダイアログで、

 IPアドレス + そのときに流れているパケット数

が表示されるようになったのも、NIC2枚以上のときの間違いを減らしてくれる便利機能です。

- - -

分析画面でも欲しかった機能拡張が入ってます。

HTTPのデータ(など)のコピー機能。

分析画面の下ペインにバイナリエディタっぽくでデータの内容が表示されるんですが、これをコピーする機能が弱く、たとえばHTTPのヘッダ部分を取り出そうとすると、バイナリエディタ全体をコピーして、バイナリ表現部分を削る必要がありました。まあPerlなどでフィルタ書けば取り出すのは容易ですが、ちょっと不便でした。

WireSharkでは、下ペインの右クリックメニューで"plain text"が選択できるようになり、そうするとバイナリ表現部分はクリップボードにコピーされません。HTTPヘッダの前に他のヘッダが文字化けして付きますがそれをエディタで削除すればHTTP電文の取り出し完了であります。

まあ、私が使うのはHTTPくらいですので、ほんとうはもっと他に改善点があるのかもしれないですが、私にとってはかゆいところが改善されて、大変感謝しています。