Kali Linuxのwireshark-commonパッケージ徹底解説：使い方と役割

はじめに

ネットワークの世界を探求する上で、パケットキャプチャと分析は欠かせないスキルです。そして、その分野で最も有名かつ強力なツールがWiresharkです。特に、セキュリティテストやデジタルフォレンジックに特化したLinuxディストリビューションであるKali Linuxにおいては、Wiresharkは標準搭載されている重要なツールの一つとなっています。

しかし、WiresharkをKali Linuxで快適に利用する上で、wireshark-commonというパッケージが重要な役割を果たしていることをご存知でしょうか？ このパッケージは、Wireshark本体（GUI）だけでなく、コマンドライン版のtsharkなど、Wiresharkファミリーのツールが共通して利用するファイルや設定を提供しています。

この記事では、Kali Linuxにおけるwireshark-commonパッケージに焦点を当て、その役割、含まれるツール、設定方法、そして具体的な使い方について、徹底的に解説します。特に、非特権ユーザー（root以外）で安全にパケットキャプチャを行うための設定は、多くのユーザーがつまずきやすいポイントですので、詳しく説明していきます。

`wireshark-common` とは何か？ – パッケージの役割

wireshark-commonパッケージは、その名の通り、Wireshark関連ツール群で共通して利用されるファイルや基本的な設定を提供するパッケージです。Debian系のLinuxディストリビューション（Kali Linuxもこれに含まれます）で採用されています。

具体的には、以下の要素が含まれています。

• 共通設定ファイル: WiresharkやTSharkの動作に関わる基本的な設定ファイルが含まれます。例えば、プロトコルのデコード設定や色付けルールなどがこれにあたります。
• ドキュメントやmanページ: Wiresharkや関連コマンドの基本的な使い方を示すドキュメントが含まれます。
• 基本的なコマンドラインツール: tsharkやdumpcapといった、GUIなしでパケットキャプチャや分析を行うための重要なコマンドラインツールの一部または設定が含まれることがあります。（ただし、これらのツールの本体はtsharkやwiresharkパッケージに含まれる場合が多いです）
• 権限設定スクリプト: インストール時や再設定時に、非特権ユーザーがパケットキャプチャを行えるようにするためのグループ作成や権限設定を行うスクリプトが含まれています。これがwireshark-commonの重要な役割の一つです。

Kali Linux Toolsのページによると、wireshark-commonはWireshark（GUI版）とTShark（コンソール版）の両方に共通するファイルを提供すると説明されています。依存関係として、基本的なCライブラリ(libc6)や権限管理ライブラリ(libcap2)などが挙げられています。

簡単に言えば、wireshark-commonは、Wiresharkファミリーがシステム上で正しく、そして安全に動作するための基盤を提供するパッケージと言えるでしょう。

`wireshark-common` のインストールと確認

Kali Linuxでは、通常、システムインストール時やkali-linux-largeメタパッケージなどをインストールする際に、Wireshark本体と共にwireshark-commonも自動的にインストールされます。そのため、多くの場合はユーザーが手動でインストールする必要はありません。

もし何らかの理由でインストールされていない場合や、再インストールが必要な場合は、以下のコマンドでインストールできます。

sudo apt update
sudo apt install wireshark-common

インストールされているかを確認するには、以下のコマンドを使用します。

apt list --installed | grep wireshark-common

または、パッケージの詳細情報を表示するには:

apt show wireshark-common

このコマンドで、バージョン情報や依存関係などを確認できます。

含まれるファイルの確認

wireshark-commonパッケージによってシステムにどのようなファイルが配置されるかを確認するには、dpkg -Lコマンドが便利です。

dpkg -L wireshark-common

このコマンドを実行すると、/etc/wireshark/ ディレクトリ内の設定ファイルや、/usr/share/doc/wireshark-common/ 内のドキュメント、/usr/sbin/ や /usr/bin/ 内のヘルパースクリプトなどがリストアップされます。これらのファイルが、Wiresharkの動作や設定を支えています。

`wireshark-common` の主な機能と使い方

wireshark-common自体はバックグラウンドで機能するパッケージですが、その設定はWiresharkや関連ツールの使い方に直接影響します。特に重要なのが、非特権ユーザーによるパケットキャプチャの許可設定です。

非特権ユーザーでのキャプチャ設定 (重要)

セキュリティ上の理由から、通常、ネットワークインターフェースから直接パケットをキャプチャする操作には管理者権限（root権限）が必要です。しかし、常にroot権限でWiresharkやTSharkを実行するのは、セキュリティリスクを高める可能性があります（万が一ツールに脆弱性があった場合、システム全体に影響が及ぶ恐れがあるため）。

そこで、wireshark-commonパッケージは、インストール時または再設定時に、一般ユーザー（非特権ユーザー）でも安全にパケットキャプチャを行えるように設定する機能を提供します。

この設定は、以下のコマンドで実行（または再実行）できます。

sudo dpkg-reconfigure wireshark-common

このコマンドを実行すると、テキストベースのインターフェースが表示され、「非スーパーユーザーにパケットキャプチャを許可しますか？ (Should non-superusers be able to capture packets?)」といった趣旨の質問が表示されます。

ここで <Yes> を選択してEnterキーを押すと、以下の処理が自動的に行われます。

1. wireshark という名前のUnixグループがシステムに作成されます（存在しない場合）。
2. パケットキャプチャを実行するプログラムである dumpcap の所有グループが wireshark グループに変更され、適切な権限が付与されます。これにより、wireshark グループに所属するユーザーは、root権限なしで dumpcap を実行できるようになります。

重要： この設定を有効にした後、パケットキャプチャを行いたい一般ユーザーを wireshark グループに追加する必要があります。例えば、現在ログインしているユーザーを追加するには、以下のコマンドを実行します。

sudo usermod -aG wireshark $USER

($USER は環境変数で、現在のユーザー名に置き換えられます。特定のユーザーを追加する場合は $USER の部分をそのユーザー名に変更してください)

グループへの追加設定を反映させるためには、一度ログアウトしてから再ログインするか、システムを再起動する必要があります。

この設定により、一般ユーザーでWiresharkのGUIを起動したり、tsharkコマンドを使用したりしても、「Permission denied」のようなエラーに悩まされることなく、スムーズにパケットキャプチャを開始できるようになります。

関連ツール: `tshark` と `dumpcap`

wireshark-common は直接使うコマンドではありませんが、このパッケージが設定を支援する主要なコマンドラインツールとして tshark と dumpcap があります。これらは通常、wireshark や tshark パッケージに含まれていますが、wireshark-common の設定（特に権限設定）がこれらのツールの動作に影響します。

`tshark` – コマンドライン版Wireshark

tshark は、Wiresharkの強力なパケット分析エンジンをコマンドラインから利用できるようにしたツールです。GUI環境がないサーバーでのパケットキャプチャや、スクリプトでの自動処理などに非常に役立ちます。

基本的な使い方:

• 利用可能なインターフェース一覧表示:

  tshark -D

• 指定したインターフェースでキャプチャを開始 (例: eth0):

  tshark -i eth0

  (停止するには Ctrl+C を押します)
• キャプチャしたパケットをファイルに保存:

  tshark -i eth0 -w output.pcapng

  (output.pcapng というファイル名で保存されます)
• 保存したファイルを読み込んで表示:

  tshark -r output.pcapng

• キャプチャフィルタ (BPF構文) を使用 (例: TCPポート80のみ):

  tshark -i eth0 -f "tcp port 80"

• ディスプレイフィルタを使用して表示を絞り込む (例: HTTP通信のみ):

  tshark -i eth0 -Y "http"

• 特定の統計情報を表示 (例: エンドポイントのリスト):

  tshark -i eth0 -z endpoints,ip

tshark は非常に多くのオプションを持っており、詳細な分析が可能です。man tshark コマンドで詳細なマニュアルを参照できます。

`dumpcap` – 軽量パケットキャプチャエンジン

dumpcap は、WiresharkやTSharkの内部で使用されている、パケットキャプチャに特化した軽量なコマンドラインツールです。GUIや複雑なパケット解析機能を持たないため、リソース消費が少なく、高速なネットワークや長時間のキャプチャに適しています。

特に、非特権ユーザーでのキャプチャ権限設定は、この dumpcap プログラムに対して行われます。wireshark グループに権限を与えるのは、この dumpcap を安全に実行するためです。

基本的な使い方:

• 利用可能なインターフェース一覧表示:

  dumpcap -D

• 指定したインターフェースでキャプチャを開始しファイルに保存 (例: eth0):

  dumpcap -i eth0 -w output.pcapng

  (停止するには Ctrl+C を押します)
• ファイルサイズや時間でファイルを分割 (リングバッファ):

  # 100MB ごとにファイルを分割し、最大10ファイルまで保存
  dumpcap -i eth0 -b filesize:102400 -b files:10 -w capture.pcapng
  # 1時間 (3600秒) ごとにファイルを分割し、最大24ファイルまで保存
  dumpcap -i eth0 -b duration:3600 -b files:24 -w capture.pcapng

  リングバッファ機能は、ディスク容量を圧迫することなく長期間のキャプチャを行う際に非常に便利です。
• キャプチャフィルタ (BPF構文) を使用 (例: 特定ホスト 192.168.1.100 の通信のみ):

  dumpcap -i eth0 -f "host 192.168.1.100" -w host_capture.pcapng

dumpcap はパケットをキャプチャしてファイルに保存することに特化しています。保存されたファイル (pcapng形式など) は、後でWiresharkやTSharkを使って詳細に分析します。

man dumpcap コマンドで詳細なマニュアルを参照できます。

具体的な利用シナリオ

wireshark-commonの設定を適切に行い、tsharkやdumpcapを活用することで、様々なネットワーク分析が可能になります。ここではいくつかの具体的なシナリオを見てみましょう。

シナリオ1: 特定のWebサーバーとの通信だけをキャプチャする

目的: 自分のPCと特定のWebサーバー (例: `www.example.com`) との間のHTTP/HTTPS通信だけをキャプチャして、問題を調査したい。

方法 (tsharkを使用):

1. キャプチャ対象のインターフェース名を確認します (例: `eth0`)。

   tshark -D

2. tshark コマンドにキャプチャフィルタを指定して実行します。

   sudo tshark -i eth0 -f "host www.example.com and (tcp port 80 or tcp port 443)" -w example_traffic.pcapng

   • -i eth0: インターフェースを指定。
   • -f "...": キャプチャフィルタ (BPF構文)。`host www.example.com` で `www.example.com` との通信に限定し、`and (tcp port 80 or tcp port 443)` でHTTP (80) またはHTTPS (443) のポートに限定します。
   • -w example_traffic.pcapng: キャプチャ結果を指定ファイルに保存。
   • 注意: tshark を直接使う場合でも、権限によっては sudo が必要になることがあります。wireshark グループ設定が正しく行われていれば不要な場合が多いです。
3. Webブラウザなどで `www.example.com` にアクセスします。
4. キャプチャを終了したい場合は、tshark を実行しているターミナルで Ctrl+C を押します。
5. 保存された example_traffic.pcapng ファイルをWiresharkで開いて分析します。

シナリオ2: 大量トラフィックが発生するサーバーで長時間キャプチャする

目的: ネットワーク帯域を大量に消費している原因を調査するため、サーバー (`eth1` インターフェース) のトラフィックを24時間キャプチャしたい。ただし、ディスク容量を使い切らないようにしたい。

方法 (dumpcapを使用):

1. dumpcap をリングバッファモードで実行します。

   sudo dumpcap -i eth1 -b filesize:204800 -b files:120 -w server_traffic.pcapng

   • -i eth1: キャプチャ対象インターフェースを指定。
   • -b filesize:204800: 1ファイルあたり200MB (204800 KB) でファイルを分割。
   • -b files:120: 最大120ファイルまで保存。121個目のファイルが作成される際に、最も古いファイル (server_traffic_00001_YYYYMMDDHHMMSS.pcapng のような名前) が削除されます。これにより、約 200MB * 120 = 24GB のディスクスペースで運用できます。
   • -w server_traffic.pcapng: 保存するファイルのベース名を指定。実際のファイル名にはシーケンス番号とタイムスタンプが付与されます。
   • 注意: dumpcap は通常 /usr/bin や /usr/sbin にあり、wireshark グループに適切な権限が付与されていれば sudo なしでも実行できるはずですが、環境によっては sudo が必要な場合があります。
2. このコマンドはバックグラウンドで実行させたい場合、nohup や screen, tmux などと組み合わせると良いでしょう。

   nohup sudo dumpcap -i eth1 -b filesize:204800 -b files:120 -w server_traffic.pcapng &

3. 指定した期間（この例では最大120ファイル分）キャプチャが継続されます。停止する場合は、dumpcap のプロセスIDを調べて kill コマンドで停止します。

   # プロセスIDを確認
   pgrep dumpcap
   # 確認したプロセスIDを使って停止 (例: プロセスIDが12345の場合)
   sudo kill 12345

4. 保存されたpcapngファイルを分析に必要な分だけ取得し、Wiresharkで詳細を確認します。

dumpcap の軽量さとリングバッファ機能は、リソースが限られた環境や長期間の監視に最適です 。

シナリオ3: 特定プロトコルの統計情報を素早く確認する

目的: ネットワーク内でどのようなDNSクエリが頻繁に発生しているか、統計情報を確認したい。

方法 (tsharkを使用):

1. tshark の統計機能 (-z オプション) を使用して、リアルタイムまたは保存済みファイルから情報を抽出します。

   # リアルタイムでDNS通信の統計 (io,stat) を10秒間隔で表示
   sudo tshark -i eth0 -Y "dns" -q -z io,stat,10,"COUNT(dns)dns"
   # 保存済みファイルからDNSクエリのエンドポイント統計を表示
   tshark -r network_capture.pcapng -Y "dns.flags.response == 0" -q -z endpoints,ip
   # (-Y "dns.flags.response == 0" はDNSクエリのみに絞り込むフィルタ)

   • -Y "dns": DNSプロトコルに表示を限定するディスプレイフィルタ。
   • -q: パケットサマリの出力を抑制し、統計情報を見やすくする。
   • -z io,stat,10,"COUNT(dns)dns": 10秒間隔でDNSパケット数をカウントする統計。
   • -z endpoints,ip: IPアドレスのエンドポイント（通信ペア）に関する統計。
2. コマンドの出力から、頻繁に通信しているIPアドレスやDNSクエリの傾向を把握します。

tshark -z help で利用可能な統計オプションの一覧を確認できます。これにより、GUIを開かずに素早くネットワークの状況を把握できます。

`wireshark-common` とセキュリティ

ネットワークトラフィックには、時に機密情報が含まれる可能性があります。そのため、パケットキャプチャツールの使用にはセキュリティ上の注意が必要です。

非特権ユーザーでの実行の重要性

前述の通り、wireshark-common の設定を通じて非特権ユーザー (wireshark グループに所属するユーザー) でパケットキャプチャを可能にすることは、セキュリティ上非常に重要です。

• 権限昇格リスクの低減: WiresharkやTSharkは非常に複雑なソフトウェアであり、多くのプロトコル解析ロジック（ディセクタ）を含んでいます。もしディセクタに脆弱性が存在した場合、root権限で実行していると、その脆弱性を突かれてシステム全体の制御を奪われる可能性があります。一般ユーザー権限で実行していれば、被害をそのユーザーの権限範囲内に限定できる可能性が高まります。
• 意図しない操作の防止: root権限は強力なため、誤操作によるシステムへの影響も大きくなります。一般ユーザー権限での実行は、そのようなリスクを低減します。

2016年頃の議論でも、/usr/bin/dumpcap のパーミッションを直接変更するよりも、dpkg-reconfigure wireshark-common でグループを設定し、ユーザーをそのグループに追加する方法が推奨されています。

権限設定の注意点

• wireshark グループの管理: wireshark グループに追加されたユーザーは、そのシステム上のネットワークトラフィックをキャプチャできるようになります。不必要なユーザーをこのグループに追加しないように注意し、定期的にメンバーを確認することが望ましいです。
• キャプチャデータの取り扱い: キャプチャしたファイル (pcapngなど) には、パスワード（暗号化されていない場合）、個人情報、その他の機密データが含まれる可能性があります。これらのファイルのアクセス権限を適切に管理し、不要になったデータは安全に削除する必要があります。
• 倫理的な使用: Wiresharkや関連ツールは、許可なく他人の通信を傍受するために使用してはなりません。法律や組織のポリシーを遵守し、倫理的にツールを使用することが絶対条件です。教育や自己学習目的であっても、自身が管理するネットワークや、明示的に許可された環境でのみ使用してください。

まとめ

wireshark-common パッケージは、Kali Linux上でWiresharkとその関連ツール群を支える重要な基盤です。特に、非特権ユーザーが安全にパケットキャプチャを行うための権限設定において中心的な役割を果たしています。

この記事では以下の点について解説しました。

• wireshark-common の役割と含まれる要素
• Kali Linuxでのインストールと確認方法
• sudo dpkg-reconfigure wireshark-common と sudo usermod -aG wireshark $USER を用いた非特権ユーザーでのキャプチャ設定の重要性と手順
• 関連ツールである tshark (CLI版Wireshark) と dumpcap (軽量キャプチャエンジン) の基本的な使い方
• 具体的な利用シナリオ例 (フィルタリング、長時間キャプチャ、統計分析)
• パケットキャプチャにおけるセキュリティ上の注意点とベストプラクティス

wireshark-common の設定を正しく理解し、tshark や dumpcap といったツールを使いこなすことで、Kali Linuxにおけるネットワーク分析の幅が大きく広がります。GUI環境がないサーバーでのトラブルシューティング、自動化されたネットワーク監視、詳細なプロトコル分析など、様々な場面で役立つでしょう。

ぜひ、この記事を参考に、wireshark-common を活用して、より安全で効率的なネットワーク解析ライフを送ってください！ Happy sniffing!

参考情報

この記事を作成するにあたり、以下の情報を参考にしました。

• Kali Linux Tools – wireshark: Kali LinuxにおけるWiresharkとその関連パッケージ（wireshark-common, tshark, dumpcapなど）の概要説明。
  https://www.kali.org/tools/wireshark/
• Wireshark Official Website: Wiresharkプロジェクトの公式サイト。ドキュメントやダウンロード情報など。
  https://www.wireshark.org/
• TShark Man Page (オンライン版): TSharkコマンドの詳細なオプションや使い方。
  https://www.wireshark.org/docs/man-pages/tshark.html
• Dumpcap Man Page (オンライン版): Dumpcapコマンドの詳細なオプションや使い方。
  https://www.wireshark.org/docs/man-pages/dumpcap.html
• Debian — Package: wireshark-common: Debianパッケージ情報。依存関係やパッケージの内容に関する情報。
  https://packages.debian.org/sid/wireshark-common
• Ask Ubuntu – I’m not able to use wireshark “couldn’t run /usr/bin/dumpcap in child process”: Ubuntu (Debian系) での非特権ユーザー実行に関する権限問題とその解決策についての議論。 (2016年頃の情報)
  https://askubuntu.com/questions/750611/im-not-able-to-use-wireshark-couldnt-run-usr-bin-dumpcap-in-child-process