Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Hokkaido.cap#5 ケーススタディ(ネットワークの遅延と戦う:後編)

4,747 views

Published on

  • Be the first to comment

Hokkaido.cap#5 ケーススタディ(ネットワークの遅延と戦う:後編)

  1. 1. ケーススタディ(ネットワークの遅延と戦う – 後編) Hokkaido.cap #5 2011.08.26 Masayuki YAMAKI
  2. 2. 今日の目標• P2Pソフトによってネットワークが遅延しているシ ナリオを体験し、これらのパケットがWireshark でどのように見えるか確認しましょう。• Conversatios等、便利な解析機能の使い方を覚 えましょう。 2
  3. 3. 前回までのおさらい• これまでの資料を以下のURLで公開しています。 (USBメモリにも収録しています) Wiresharkを初めて使う方は参照しながら進め てみてください。 http://www.slideshare.net/eightroll• 操作方法がわからない場合は、遠慮せずにど んどん質問してください。 3
  4. 4. 今日の進め方• 「実践パケット解析 第8章 ケーススタディ(ネット ワークの遅延と戦う)」の内容をベースに進めま す。本書をお持ちの方は演習に合わせて参照 してください。 (スライドには概要のみ記載しています)• 気付いた点やわからない点があれば自由に ディスカッションしましょう。 4
  5. 5. 演習資料- ネットワークの遅延と戦う(後編) - 5
  6. 6. BitTorrentの大雨 (1/3)• サンプルファイル : torrential-slowness.pcap• 大量のTCP通信が記録されているファイル。 (これだけでは状況がわからない)• PSHフラグが立っている。 - 受信バッファをスキップして優先的に上位アプリ ケーションにデータを渡す。• 通信全体の傾向やノードごとの対話状況を見る。 [Statistics] → [Conversations] 6
  7. 7. BitTorrentの大雨 (2/3)• 192.168.0.193のノードが外部ノードと大量に通 信している。(1秒以内に送信:10、受信:16) 7
  8. 8. BitTorrentの大雨 (3/3)• 「Follow TCP Stream」では中身が解読できない。• パケット一覧部を先頭から見ていくと、44番目 のパケットが「BitTorrent」の名前解決であること がわかる。• パケットを1つ1つ見ていくことが解決に繋がる 場合もある。 8
  9. 9. 補足 : Endpoints 機能• キャプチャデータの中から通信量の多いノードを特 定するには、Conversations機能に加え、Endpoints 機能も有効。 9
  10. 10. メールサーバに流れ込む POP (1/3)• サンプルファイル : email-troubles.pcap• メールサーバ上でキャプチャしたデータ。 - 大量の POP(Post Office Protocol) パケットが流れ込 んでいる。 10
  11. 11. メールサーバに流れ込む POP (2/3)• POPはテキストベースのプロトコルのため、 「Follow TCP Stream」で中身が見える。 11
  12. 12. メールサーバに流れ込む POP (3/3)• 「document_9446.pif」というファイルが添付され ている。 → 原因はワームによる大量スパムメール 12
  13. 13. Gnutellaも大雨 (1/4)• サンプルファイル : gnutella.pcap• たくさんの外部ノードに通信を試みている。 - ただし、ほとんどはSYNパケットに対して応答がない。 またはRSTを受け取っている。 13
  14. 14. Gnutellaも大雨 (2/4)• 調査すべきトラフィックを把握するため、 「Conversations」機能を使う。 - たくさんの外部ノードと少ないパケットをやり取りし ているのがわかる。 14
  15. 15. Gnutellaも大雨 (3/4)• 成功している通信から手掛かりを掴むため、 Packetsでソート後、フィルタを適用する。 15
  16. 16. Gnutellaも大雨 (4/4)• 431番目のパケットなどから、このノードが Gnutellaの通信を実行していることがわかる。 16
  17. 17. まとめと参考資料 17
  18. 18. この演習のまとめ• P2Pソフトやワームによってネットワークが圧迫 されている通信がWiresharkでどのように見える か確認しました。• 実際のキャプチャデータでは似たようなパケット が大量に記録されるため、今回使用した Conversations機能等を活用して素早く原因を特 定できるようになりましょう。 18
  19. 19. 参考資料• 実践パケット解析 - Wiresharkを使ったトラブル シューティング - http://www.oreilly.co.jp/books/9784873113517 - ISBN978-4-87311-351-7 19

×