EG

by gazpara (gazpara@gmail.com)
2009.6.27

ソフトウェアの紹介

ネットワークの通信速度を、プロトコル毎にグラフ表示するソフトです。

Wiresharkを使ったことのあるネットワークエンジニア向けのソフトです。
プロトコル解析はWireshark付属のrawshark.exeを使用しますので、フィルターの指定の仕方はWiresharkと同じです。

パケットの送受信のタイミングを確認することで、トラブル等の解析への利用を想定してます。
例えば、bootpでIPアドレスを取得し、arpでMACアドレスを解決し、dnsでIPアドレスを解決し、httpでアクセスする様子を順に確認したりします。

使用許諾

フリーソフトです。
商用・非商用に関係なく自由に使って頂いてかまいません。
使用することにより生じるあらゆる結果には、使用者が責任を負うことをご承諾ください。
gazparaは責任を負いません。

環境

Windows 2000/XP/Vista 対応です。管理者権限で動作させてください。
また、このソフトの使用には、WinPcapと Wiresharkが必要です。
WinPcapの4.0.2、 Wiresharkの1.0.8で動作確認してます。

インストール

適当なフォルダに解凍してください。EGについてはそれだけです。
後は、WinPcapとWiresharkをインストールしてください。

アンインストール

インストール時に作成したフォルダごと削除してください。
EGはレジストリ等は使用していません。

メモリ消費

EGは、複数のrawshark.exeを起動します。
rawshark.exeはメモリを大量に使用しますので、メモリの少ないマシンではつらいと思います。
最低でも256MB、推奨1GB以上です。

rawshark.exeのデフォルト動作では、TCPパケットを受信するとメモリにデータを保持していき、メモリの消費を拡大し続けます。
メモリ消費を抑えるために、「preferences」というファイルでrawshark.exeの動作を変更しています。
以下の３行を設定しています。

tcp.desegment_tcp_streams: FALSE
tcp.analyze_sequence_numbers: FALSE
tcp.relative_sequence_numbers: FALSE

必要であれば、「preferences」ファイルを修正してください。
詳細は、Wiresharkのインストールフォルダにあるrawshark.htmlのFILES->Preferencesの項目を参照ください。

CPU負荷

rawshark.exeのデフォルト動作では、チェックサムを計算しますが、
CPU負荷を抑えるために、「preferences」というファイルでrawshark.exeの動作を変更しています。
以下の４行を設定しています。

ip.check_checksum: FALSE
tcp.check_checksum: FALSE
udp.check_checksum: FALSE
udplite.check_checksum: FALSE

必要であれば、「preferences」ファイルを修正してください。
詳細は、Wiresharkのインストールフォルダにあるrawshark.htmlのFILES->Preferencesの項目を参照ください。

さらにCPU負荷を低くしたい場合は、Edit->ConfigurationのLimit each packetのチェックを入れてみてください。

使い方

eg.exeを実行します。
WS000000.png(1853 byte)

パケットをキャプチャするネットワークインターフェイスを指定します。
メニューのEdit->Configurationを開いてください。
WS000001.png(10612 byte)

（１）使用するネットワークインターフェイスを指定します。
（２）rawshark.exeのパスを入力します。WiresharkをProgramFiles以外の場所にインストールした場合は、手動で設定してください。
（３）グラフ横軸の時間のスケールを変更します。
Capture Filterの書式は、WinPcapのドキュメントの「フィルタリングの表現シンタックス」を参照ください。

グラフに表示するプロトコルを設定します。（最大16個まで）
メニューのEdit->Edit filter setを開いてください。
WS000004.png(4368 byte)

Newボタンを押します。
WS000003.png(3680 byte)

Filterに条件を入力してください。ここに入力する条件は、Wireshark使用時に入力するFilterがそのまま使用できます。
Filterの書式は、Wiresharkのインストールフォルダにあるwireshark-filter.htmlを参照ください。
ここでは、「tcp」と入力してみます。

WS000005.png(4628 byte)

OKボタンを押すと、設定が反映されキャプチャが始まります。

WS000006.png(4982 byte)

グラフの見方
・横軸1ドット分がSampling Intervalで設定した50000μ秒なので、20ドットで1秒間です。
・左上の10Mbpsは縦軸のスケールです。

３つのプロトコルを設定した場合です。
WS000009.png(3080 byte)

左上に３つのプロトコルが表示されています。
一番左側にある四角は表示・非表示の切り替えです。
表示の場合には塗りつぶした四角が（上の例ではtcpとicmp）、
非表示の場合は塗りつぶしていない四角です。（上の例ではudp）
四角の部分を左クリックして切り替えます。

上の例でicmpに下線があります。
下線は、一番最後に描画したことを示します。
通常、プロトコルの下から（上の例ではicmp、udp、tcpの順に）描画します。
従って、最後のtcpが上書きしてしまって、icmpもしくはudpのグラフが隠れてしまうことがあります。
左クリックで選択したプロトコルは下線で示され、一番最後にグラフ描画しますので、グラフは上書きされなくなります。