【ITネットワーク基礎】Wireshark の Npcap はインストールするべきか?
みなさんお疲れ様です、Kosukeです。
今回は、パケットキャプチャソフトである Wireshark をインストールする時に登場する “Npcap” について、メモを残していこうと思います。
1. Npcapって…?
ITネットワークやサーバーを触っていると、経路上のパケットが送受信できているかどうかを切り分けていく場面がありますよね。
そのときに、Wireshark というパケットキャプチャソフトをインストールすることがあるかと思います。
そのインストール中に “Npcap” なるドライバーもインストールするか聞かれる部分があり、どうするか迷ったことがある方もいらっしゃるのではないでしょうか。。
この Npcap ですが、結論から書くとインストールしておくべき機能です。
なぜかというと、キャプチャ用のWindows端末において、自端末宛以外のパケットもキャプチャできるようになるためです。
2. 普段のパケットキャプチャ
パケットキャプチャを実施する際には、経路上にあるネットワークスイッチにミラーポートを設定してから、Windows 端末の Wireshark にパケットを転送して通信を可視化します。
あるいは、経路上にリピーターハブのような機器を噛ませてパケットをフラッディングさせることで、Windows 端末のWiresharkでキャプチャさせる場合もあるかと思います。
3. Npcapがないと…
その時に Npcap がインストールされていないと、経路上を流れる自分宛ではないパケット(Wiresharkでキャプチャを行う Windows 端末宛ではないパケット) をキャプチャすることができません。
そうなると、本当は正しく送信されているのに「この機器から送信されるであろうパケットが見つからない。妙だな..」という間違った方向に推理を進めてしまう可能性があります。
4. Npcapも入れておこう
そこで、キャプチャ用の Windows 端末に Wireshark をインストールする際に、Npcap も一緒にインストールしておきます。
そうすることで、Windows 端末のNIC (LANポート) がプロミスキャスモード※となり、経路上に流れる自分宛以外のパケットも含めて受信して Wireshark で可視化できるようになります。
※プロミスキャスモード
自分宛以外のパケットも無差別に受け入れる NIC の状態。
そのため、Wireshark をインストールする際には Npcap も一緒にインストールしておきましょう!
参照: 日経ネットワーク 2023年 3月号
https://www.fujisan.co.jp/product/1281679738/new/
