Message Analyzer でパケットキャプチャー

Microsoft Message Analyzer で
パケットキャプチャー
Murachi Akira aka hebikuzure
This work is licensed under a Creative Commons Attribution-NonCommercial-NoDerivatives 4.0 International
License.

About me
 村地彰 aka hebikuzure
 株式会社シーピーエス代表取締役
 株式会社エクシードワン事業推進部
 Microsoft MVP (Most Valuable Professional)
 2011年 4月～ 5年連続受賞
 受賞分野 Visual Studio and Development Technologies
(Front End Web Dev)
2015/11/28© 2015 Murachi Akira - CC BY-NC-ND - .NET Labo Nov. 20152

About me
 http://www.murachi.net/
 http://www.hebikuzure.com/
 https://hebikuzure.wordpress.com/

好きなパケット
SMB / SMB2 / SMB3

おことわり
 本セッションは「ネットワークパケットを読む会（仮）」第
32回、第33回、第34回で行った「Message Analyzer 再
入門 (1) ～ (3)」の内容を再構成、追補したものです
 本セッションの内容については、発表者が調査および検
証した結果であり、発表者の所属する組織およびマイク
ロソフト社の見解とは異なる場合があります
 本スライドは Creative Commons NC/ND ライセンス
で公開しています。

Message Analyzer 前史

Microsoft のパケットキャプチャツール #1
 Microsoft Systems Management Server (SMS)
 Network Monitor が付属
 プロミスキャスモード対応
 リモートキャプチャー対応
 Network Monitor 2.x
 SMS 付属版の機能限定版を無償提供
 Windows Server 2000/2003 には標準添付
 プロミスキャスモード / リモートキャプチャー未対応
 Windows Vista 以降では利用できない

Microsoft のパケットキャプチャツール #2
 Network Monitor 3.x (最終版は 3.4)
 Windows Vista 以降で利用可能 (Windows 10 は NG？)
 無償提供
 プロミスキャスモード対応
 リモートキャプチャー未対応
 アプリケーション (プロセス) 単位でのパケット解析
 Microsoft Message Analyzer
 Network Monitor の後継
 「パケットキャプチャツール」ではない
 ETW ログ解析ツール

Microsoft Message Analyzer の入手と情報
 ダウンロードページ
 http://www.microsoft.com/en-us/download/details.aspx?id=44226
 最新版は ver. 1.3.1 (2015/7/30 リリース)
 Message Analyzer Blog
 http://blogs.technet.com/b/messageanalyzer/
 サポートフォーラム
 https://social.msdn.microsoft.com/Forums/windowsdesktop/
en-us/home?forum=messageanalyzer
 Microsoft Message Analyzer Operating Guide
 https://technet.microsoft.com/en-us/library/jj649776.aspx

パケットをキャプチャーする方法 #1
 Network Monitor の場合
= ネットワークモニターエージェント
アプリケーション
Windows Firewall
TDI
TCP/IP NWLink NBF
NDIS
ネットワークドライバー
NIC（ハードウェア）
ネットワークモニター
エージェント
プロトコル

参考
 TDI : Transport Driver Interface
 https://msdn.microsoft.com/en-
us/library/windows/hardware/ff565685
 NWLink : NetWare Link
 https://support.microsoft.com/en-us/kb/316019
 NBF : NetBIOS Frames

 Wireshark の場合
= ドライバー
Windows Firewall
TDI
TCP/IP NWLink NBF
NDIS
WinPCAP
(NPF Driver Service)
ドライバー

参考 NPF Driver Service

 Microsoft Message Analyzerの場合
= ETW
ETW?
?

ETW (Event Tracing for Windows)

ETW = Event Tracing for Windows
 Windows のコンポーネントに対してトレースログを出力
させる仕組み
 Window のコンポーネント以外のカーネルモード/ユー
ザーモードドライバー、ユーザーモードアプリケーション
でも実装可能
 Checked Build によるデバッグプリントより高速でモ
ジュール本来の動作に与える影響が少ない
 動的な有効化/無効化が可能
 出力されるログはバイナリデータ
 表示/解析にはツールが必要

ETW
 イベントトレース
Windows Firewall
TDI
TCP/IP NWLink NBF
NDIS
ETW
Event Tracing for Windows
イ
ベ
ン
ト
ト
レ
ー
ス

ETW の仕組み
http://blogs.msdn.com/b/jpwdkblog/archive/2011/12/27/event-tracing-for-windows-etw.aspx より

ETW の仕組み
トレース採取対象の
ドライバー
トレース有効化/無効化

ETW の仕組み
トレースデータの配信
セッションの作成/管理

ETW の仕組み
トレースの配信

ETW の仕組み
Message Analyzer

参考資料
 ETW へのご招待
http://blogs.msdn.com/b/tsmatsuz/archive/2008/01/2
3/etw.aspx
 Event Tracing for Windows (ETW)
http://blogs.msdn.com/b/jpwdkblog/archive/2011/12/
27/event-tracing-for-windows-etw.aspx
 FAQ: Common Questions for ETW and Windows Event Log
https://social.msdn.microsoft.com/Forums/ja-JP/a1aa1350-
41a0-4490-9ae3-9b4520aeb9d4/faq-common-questions-
for-etw-and-windows-event-log
 Event Tracing for Windows (ETW) Simplified
https://support.microsoft.com/en-us/kb/2593157

 Event Tracing
https://msdn.microsoft.com/en-
us/library/windows/desktop/bb968803.aspx
 ETW Tracing
us/library/ms751538.aspx
 Event Tracing Reference
us/library/windows/desktop/aa363802.aspx

ここから本題

ETW でネットワークキャプチャー

ETW で「ネットワークキャプチャー」
 プロバイダ「Microsoft-Windows-NDIS-
PacketCapture」のトレースを採取する
 Windows 8 以降から利用可能なプロバイダ
 Network Monitor と同等のパケットキャプチャが可能

NDIS
 Network Driver Interface Specification
 %SystemRoot%System32DriversNdis.sys
http://blogs.msdn.com/b/jpwdkblog/archive/2010/08/31/windows-network-driver.aspx

NDIS-PacketCapture プロバイダの問題
 Windows 7 以前では利用できない
 プロバイダを有効にするために管理者権限が必要
※ Message Analyzer から利用する場合、Message
Analyzer を「管理者として実行」する必要がある

Message Analyzer でパケットキャプチャ
1. Message Analyzer を起動
2. [Start Local Trace] をクリック
または
1. Message Analyzer を起動
2. [New Session] をクリック
3. [Live Trace] をクリック
4. [Trace Scenario] で [Local Network Interface] を選
択
5. [Start] をクリック

パケットキャプチャの開始 – 方法1

パケットキャプチャの開始 – 方法2

パケットキャプチャの開始 – 方法2 (2)
– 方法1

パケットキャプチャの開始 – 方法2 (3)
– 方法1

パケットキャプチャの停止
 ツールバーの [Stop] ボタン
 [Session] メニュー – [Stop]

データの保存
 ツールバーの [Save] ボタン
 [File] メニュー – [Save]
 [Save as] で cap 形式 (Microsoft Network Monitor 形式) で
保存できる ⇒ Wireshark で開けます

他のコントローラを使う
 Message Analyzer 以外の ETW コントローラ
 logman コマンド
 パフォーマンスモニタ (perfmon.exe)
– [データコレクターセット]
– [イベントトレースセッション]
 いずれも「管理者として実行」が必要

WFP のプロバイダーを利用する

NDIS-PacketCapture プロバイダの問題
 Windows 7 以前では利用できない
 プロバイダを有効にするために管理者権限が必要
※ Message Analyzer から利用する場合、Message
Analyzer を「管理者として実行」する必要がある
 ループバックインターフェイス (Localhost / 127.0.01)
のキャプチャができない

Microsoft-pef-WFP-MessageProvider
 Windows フィルタリングプラットフォーム (WFP) の
ETW プロバイダー
 WFP :ネットワークフィルタリングアプリケーションを作
成するためのプラットフォームを提供する API およびシ
ステムサービスのセット
https://msdn.microsoft.com/ja-
jp/library/aa366510.aspx

WFP のメリット
 Windows 7 / Windows Server 2012 でも利用できる
(NDIS は Windows 8 / Windows Server 2012 R2 以
降)
 管理者権限が無くてもキャプチャできる
(NDIS でのキャプチャには管理者権限が必要)
 Loopback インターフェイスのキャプチャができる
(NDIS では Loopback のキャプチャはできない)

Loopback のみキャプチャする
 Trace Scenario の中に「Local Loopback Network」が
ある
 プロバイダーはMicrosoft-pef-WFP-MessageProvider
 IPv4 / IPv6 ともに InBound のみキャプチャ
 IP アドレス 127.0.0.1 / ::1 でフィルタリング

WFP のデメリット
 キャプチャしたデータの形式が一般的なパケットキャプ
チャツールと異なる
 (参考: NDIS でキャプチャした場合)
 CAP 形式にエクスポートできない
 Ethernet フレーム情報が無いため

NDIS と WFP の使い分け
 可能であれば NDIS で採取した方がよい
 Windows 7 の場合、管理者権限がない場合は WFP

WFP-MessageProvider の参考資料
 Microsoft-PEF-WFP-MessageProvider
 Selecting Data to Capture
 https://msdn.microsoft.com/ja-jp/library/office/dn799002
 PEF-WFP Layer Set Filters
 https://msdn.microsoft.com/ja-jp/library/office/jj729732

リモートキャプチャ

リモートコンピューターの追加
 [New Session] – [Edit Target Computers]
 [Add] で新しいコンピューターを追加

リモートコンピューターの指定
 コンピュータ名 / ユーザー名 / パスワードを指定
 NDIS プロバイダーの利用権限のあるユーザーを指定する
 Localhost は [Delete] で削除

リモートキャプチャの実行

参考情報
 Capturing Data Remotely
https://technet.microsoft.com/en-us/library/dn386835

View Filter の設定

View Filter
 Wireshark でいうところの “Display Filter”
これですね

View Filter
ここにあります

アドレスのフィルタリング
 Address でネットワークアドレスを示す
 MAC ex. 6c-62-6d-94-c2-35
 IPv4 ex. 192.168.1.1 / 10.1.0.0/16
 IPv6 ex. 2001:4898:0:FFF:200:5EFE:4135:4A7
 フィルター例
 *Address==02-01-0A-01-01-64
 IPv4.Address in 10.1.0.0/16
 IPv4.Address == 192.168.1.1
 *Address == 192.168.1.1 or *Address ==
2001:4898:0:FFF:200:5EFE:4135:4A7


プロトコルのフィルタリング
 TCP, UDP, HTTP, SSL, TSL, DNS などのプロトコル名
でフィルタリング
 ex.
 HTTP
 SSL or TLS
 HTTP and !UDP

プロトコルごとの詳細フィルタリング
 HTTP.StatusCode >= 400
 HTTP.Uri contains "msn"
 HTTPTCP.Port == IANA.Port.HTTP
 TCP.SourcePort in [6608, 6609, 6610]
 TCP::Flags:SYN == true
(TCP.Segment.Flags.SYN == true と同じ)
(かつ、TCP.SYN == true と同じ)
 . はすべての下位の要素を利用可能
 : は直下の階層の要素を利用可能 (:: で階層名を省略可)

文字・数字でのフィルタリング
 contains フィルターを利用する
 *Summary contains “error”
 contains “Microsoft”
 contains “Microsoft” caseSensitive
 contains “Microsoft” encoding ASCII
 contains $[4d534e] (MSN)

正規表現
 regex “(?!000)([0-6]d{2}|7([0-6]d|7[012]))
([ -]?)(?!00)dd3(?!0000)d{4}”
— (US の) 電話番号
 Regex @“^([w.-]+)@([w-]+)((.(w){2,3})+)$”
— 電子メールアドレス
 Regex @“^d{3}-d{2}-d{4}$”
— (US の) 社会保険番号
 Regex @“bthisW+(?:w+W+){1,6}?thatb”
— “that” の近くにある “this”

Library
 良く利用されるフィルターのパターンは Library にプリ
セット済み

Library の管理
 Library のフィルターは [New Filter], [Manage Filter] で
追加・削除など可能

History
 [History] で設定したフィルターの履歴を表示・再入力

View Filter の参考資料
 Filtering Live Trace Session Results
 Getting Started with Creating and Applying Filters
 Understanding the Filtering Language Basics
 Using the Filtering Language

宣伝
 ネットワークパケット解析の勉強会
「ネットワークパケットを読む会（仮）」
を開催しています
 毎月後半（最終週の場合が多い）・平日夜に開催
 次回は1月開催の予定です
 “pakeana” または「ネットワークパケットを読む会」で検
索
 http://pa.hebikuzure.com/
 #pakeana

Any Question?

Thank You

Message Analyzer でパケットキャプチャー

Recommended

Recommended

More Related Content

What's hot

What's hot (20)

Similar to Message Analyzer でパケットキャプチャー

Similar to Message Analyzer でパケットキャプチャー (20)

More from 彰村地

More from 彰村地 (20)