こんにちは、LinuCエバンジェリストこと、鯨井貴博@opensourcetechです。
先日久しぶりにWiresharkを使ってみたら、
以下のように左側の「No.」欄にリクエストパケット・レスポンスパケットの表示が矢印で表示されてて、えらく感動したのでこの機能についてまとめておこうと思います。
この表示がなかった時は、
最適なフィルターのかけ方を模索したり、プロトコル毎に色を変えたり、TCP Flowグラフを見たりと色々と苦労した記憶が蘇ってきましたw
Related Packets
「Related packets」。これが、正式な機能名なようです。
実装されたのはWireshark2.0にされていました。(The related packet indicator has been updated.)
※2015年11月18日にリリースされてます。結構前ですなw
https://www.wireshark.org/news/20151118.html
Wireshark · Wireshark 2.0.0 Release Notes
Wireshark blogでも紹介されています。
Let me tell you about Wireshark 2.0 | Sniff free or die
Related Packetsの種類
以下をみると、矢印(→・←)以外にも記号が用意されています。
日本語にすると、以下のようになります。
related first:メッセージのやりとりの最初のパケット。
related current:選択したメッセージのやりとりの一部
related other:選択したメッセージのやりとりの一部ではありません。
related last:メッセージのやりとりの最後のパケット
related request:リクエスト。
related response:レスポンス。
related ack:選択されたパケットはこのパケットを確認応答します。
related dup ack:選択されたパケットは、このパケットの重複確認応答です。
related segment:選択されたパケットは他の方法でこのパケットに関連している。 例:再組み立ての一環として。(要は、フラグメントパケットの再構築のこと)
・リクエストパケット/レスポンスパケットの例
1602(リクエスト)
1641(レスポンス)
・通信開始/関連パケット/非関連パケット/通信終了の例
9(通信開始)
14(通信終了)
10/12/13(関連パケット)
11(非関連パケット)
・ACK(確認応答パケット)
7に対するACKが8であることを示している。
・フラグメントパケットとその再構築を示す記号
左側の黒丸(・)です。
・Duplicated ACK(重複確認応答パケット)
1294(確認応答パケット)
1296(重複確認応答パケット)
なお、Duplicated ACKは「tcp.analysis.duplicate_ack」でフィルターできます。
DuplicatePackets - The Wireshark Wiki
進化し続けるWireshark。素晴らしいですね!
そして、この機能がない頃に頑張ってパケット解析をしていた自分自身を褒めてあげたいw!!