ネットワークを流れるパケットを解析するためにWiresharkを利用しています。GUIなので操作しやすいことは確かですが、それぞれの設定項目の意味(意図)が分からなくても、なんとなく弄っていると、それらしい結果が出てくるので、それで分かった気になっているところもあると思います。ネットワーク(特にTCP/IP)について理解を深めておかないと、Wiresharkを真の意味で使いこなすことは出来ないと思っています。
このような気持ちはさておき、tcpdumpで取得したパケットのファイルをWiresharkで調査していました。NFS操作がおこなわれている筈なのですが、NFSプロトコルが認識されず、見やすくデコードされていませんでした。Wiresharkの何かの設定の問題なのだろうと当たりをつけ、いろいろな設定を変えてみましたが、NFSプロトコルとしてデコードされません。しかも、次第に状況は悪化し、IP層より上位層が全くデコードされなくなってしまいました。
おそらくWiresharkの個人設定がおかしくなっているのだと判断し、初期状態に戻そうと思ったのですが、そのやり方が分かりません。Webを検索してみても、初期状態に戻そうと考える人が少ないのか、手順が簡単すぎてWebに情報を書くほどではないのか、理由は不明ですが情報が見つかりませんでした。
Web検索を繰り返していると「Wiresharkの各種履歴を削除する方法」という記事を見つけました。この手順に従い、個人設定のファイルを消したところ、Wiresharkの初期状態に戻りました。調査していたパケットファイルもNFSとしてデコードされているのが確認できました。
個人設定が格納されている場所にあるファイルを消すという対処方法は荒業のような気がします。しかし設定を初期状態に戻すには、この方法しかないようです。
0 件のコメント:
コメントを投稿