Slide

1,812 views
1,714 views

Published on

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
1,812
On SlideShare
0
From Embeds
0
Number of Embeds
53
Actions
Shares
0
Downloads
2
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Slide

  1. 1. 超・ネットワーク入門 ~1から始めるパケットアナライザ~ 2009 年 2 月 26 日 smokeymonkey (smokeymonkey@gmail.com)
  2. 2. 1.はじめに
  3. 3. (1)通信の流れ、知ってる? <ul><li>TCP/IP はちゃんと勉強した、本も読んだし OSI 参照モデルも知ってる。 </li></ul><ul><li>プロトコルの通信の流れも勉強した。 </li></ul><ul><li>TCP はスリーハンドシェイクでしょ、本で読んだ。 </li></ul><ul><li>-> なるほど、通信は目で見たことある? </li></ul><ul><li>-> は?見る? </li></ul>
  4. 4. (2)意外と通信を見ている人は 少ない <ul><li>本で学んだ知識と、アプリケーションで使えていることだけで終わってしまう。 </li></ul><ul><li>-> じゃあちゃんと目で見てみよう。 </li></ul><ul><li>-> パケットアナライザで! </li></ul>
  5. 5. 2.パケット アナライザについて
  6. 6. (1)パケットアナライザとは <ul><li>ネットワーク上に流れる生のパケットを広い、表示する。 </li></ul><ul><li>パケットのヘッダもデータも表示してくれる。 </li></ul><ul><li>機器のログだけではわからない、生の通信が目に見える。 </li></ul><ul><li>-> 障害調査に便利! </li></ul>
  7. 7. (2)パケットアナライザ使用例 Web サイトが 見えない!
  8. 8. パケットアナライズしたけどパケット 来てない パケットアナライズしたらパケット 来てる
  9. 9. パケットアナライズしたけどパケット 来てない パケットアナライズしたらパケット 来てる
  10. 10. お前が原因か!
  11. 11. 3.パケット アナライザの 注意点
  12. 12. (1)プロミスキャスモード <ul><li>通常の状態では、 NIC は自分宛もしくはブロードキャスト宛の通信のみを受信し、その他は破棄。 </li></ul><ul><li>キャプチャはネットワーク上に流れるパケットを全て拾うのが目的なので、自分宛以外の通信も拾いたい! </li></ul><ul><li>-> それ、プロミスキャスモードで。 </li></ul>
  13. 13. <ul><li>受信したパケットを宛先かまわず無差別に拾う。 </li></ul><ul><li>プロミスキャスモードにしないと自分宛以外の通信は拾えないので注意。 </li></ul><ul><li>Linux の場合 </li></ul><ul><li>  $ sudo ifconfig eth0 X.X.X.X promisc </li></ul><ul><li>Windows の場合 </li></ul><ul><li>  NIC のプロパティから(ただし NIC によって違う) </li></ul>プロミスキャスモード (promiscuous mode) とは
  14. 14. (2)スイッチング HUB <ul><li>FDB(MAC アドレス学習テーブル ) に従い、ポートごとに通信を制御する。 </li></ul><ul><li>FDB に学習された MAC アドレス宛の通信は、その MAC アドレスが接続されているポートに対しパケットを出力する。 </li></ul><ul><li>FDB に学習されていない MAC アドレス宛の通信は、全ポートに対しパケットを出力し、 FDB に対象 MAC アドレスを記録する。 </li></ul><ul><li>-> ネットワーク上に流れるパケットを全て拾うことができない! </li></ul>
  15. 15. <ul><li>特定のポートに流れるパケットを、指定したポートにコピーする機能。 </li></ul><ul><li>機種によって単ポートのみ対応であったり、複数ポート対応であったりする。 </li></ul><ul><li>ミラーリングポート機能を使用することで、極力すべてのパケットを拾うことができる。 </li></ul><ul><li>-> 理想はリピータやタップを使うべき。 </li></ul>ミラーリングポート
  16. 16. (3)時刻同期 <ul><li>経路上で複数のキャプチャマシンを使う場合、もしくはログと比較する場合、各マシンの時刻がズレていると比較にならない。 </li></ul><ul><li>-> 調査対象の機器は全て時刻が同期していることが重要! </li></ul>
  17. 17. 3.パケット アナライザ ソフトウェア紹介
  18. 18. (1) Wireshark <ul><li>かつて「 Ethereal 」という名前だった超有名ソフトウェア。 </li></ul><ul><li>GPL で開発されている OSS 。 </li></ul><ul><li>Windows 、 Linux 、 BSD などの多種多様な OS に対応。 </li></ul><ul><li>http://www.wireshark.org/ </li></ul><ul><li>-> GUI のパケットアナライザとしては事実上標準。 </li></ul>
  19. 19. Wireshark の画面例
  20. 20. (2) VIGIL <ul><li>SAPPOROWORKS( 札幌ソフト開発工場 ) で開発されているシェアウェア (1,050) </li></ul><ul><li>プロトコルの解析結果からデータを再作成可能。 </li></ul><ul><li>グラフ表示など視覚的に分かりやすい。 </li></ul><ul><li>http://homepage2.nifty.com/spw/software/vigil/ </li></ul><ul><li>-> 取っつきやすくて簡単。 </li></ul>
  21. 21. VIGIL の画面例
  22. 22. (3) tcpdump <ul><li>1991 年から開発が続く老舗 OSS 。 BSD License 。 </li></ul><ul><li>Linux 、 BSD などの各種 Unix 風 OS に対応。 </li></ul><ul><li>Windows で使える Windump というのもある。 </li></ul><ul><li>http://www.tcpdump.org/ </li></ul><ul><li>-> CUI のパケットアナライザとしては事実上標準。 </li></ul>
  23. 23. (4) snoop <ul><li>Solaris に付属するパケットアナライザ。 </li></ul><ul><li>SunOS に付属した Etherfind の後継。 </li></ul><ul><li>-> Solaris 使い必須のツール。 </li></ul>
  24. 24. (5) ngrep <ul><li>tcpdump+grep 的なツール。 </li></ul><ul><li>アナライズしたパケットを tcpdump 風味にも grep 風味にも検索できる。 </li></ul><ul><li>http://ngrep.sourceforge.net/ </li></ul><ul><li>-> Latest Ver が 06/11/18 リリースの 1.45 。開発止まってる? </li></ul>
  25. 25. さあ 実際に通信を 見てみよう!
  26. 26. end

×