Successfully reported this slideshow.
Your SlideShare is downloading. ×

Rmote Packet Capture Protocol を使って見る

Ad

Remote Packet Capture Protocol
サービスを使う
Murachi Akira aka hebikuzure
This work is licensed under a Creative Commons Attribu...

Ad

About me
 村地 彰 aka hebikuzure
 http://www.murachi.net/
 http://www.hebikuzure.com/
 https://hebikuzure.wordpress.com/
...

Ad

Remote Packet Capture Protocol サービス
2015/8/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #313
 WinPcap のインストールで同時にインストー...

Ad

Ad

Ad

Ad

Ad

Ad

Ad

Ad

Ad

Ad

Ad

Ad

Ad

Ad

Ad

Ad

Ad

Ad

Ad

Ad

Ad

Ad

Ad

Ad

Ad

Ad

Ad

Ad

Loading in …3
×

Check these out next

1 of 31 Ad
1 of 31 Ad

Rmote Packet Capture Protocol を使って見る

Download to read offline

WinPcap に同梱されている Rmote Packet Capture Protocol の概要と、それを使ったリモート パケット キャプチャの方法について解説しています

WinPcap に同梱されている Rmote Packet Capture Protocol の概要と、それを使ったリモート パケット キャプチャの方法について解説しています

Advertisement
Advertisement

More Related Content

Slideshows for you (18)

Advertisement
Advertisement

Rmote Packet Capture Protocol を使って見る

  1. 1. Remote Packet Capture Protocol サービスを使う Murachi Akira aka hebikuzure This work is licensed under a Creative Commons Attribution-NonCommercial-NoDerivatives 4.0 International License.
  2. 2. About me  村地 彰 aka hebikuzure  http://www.murachi.net/  http://www.hebikuzure.com/  https://hebikuzure.wordpress.com/  Microsoft MVP(Internet Explorer)Apr. 2011 ~ 2015/8/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #312
  3. 3. Remote Packet Capture Protocol サービス 2015/8/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #313  WinPcap のインストールで同時にインストールされる Windows サービス  WinPcap でキャプチャしたパケット データをネットワーク 上に転送するサービス  詳細情報はこちら https://www.winpcap.org/docs/docs_40_2/html/group __remote.html
  4. 4. ちなみに WinPcap の歴史 2015/8/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #314  オリジナル トリノ工科大学(Politecnico di Torino)で開発  商用版 開発者によって設立された CACE Technologies から提 供  現在 CACE Technologies が Riverbed Technology に買収 されたので、Riverbed Technology が提供元  Riverbed Technology は Wireshark Foundation のス ポンサーでもある  日本法人あり http://jp.riverbed.com/contact/
  5. 5. RPCAP Protocol サービス 2015/8/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #315  ドキュメントは古いが、ソフトウェアは更新済み
  6. 6. RPCAP の動作モード 2015/8/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #316  Passive Mode(既定)  RPCAP は指定したポートで待ち受け  キャプチャするクライアントがネットワーク経由で接続  クライアントからのコマンドでキャプチャと転送  Wireshark はこのモードで利用可能  Active Mode  RPCAP 起動時に指定したクライアントに接続  クライアントが待ち受けている必要あり  クライアントからのコマンドでキャプチャと転送  サポートするクライアントが実質無い(?)
  7. 7. RPCAP の起動(GUI) 2015/8/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #317  [サービス] の管理コンソール(services.msc)で “Remote Packet Capture Protocol v.0 (experimental)” を開く  [開始] をクリック
  8. 8. RPCAP の起動(コマンド) 2015/8/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #318  管理者コマンドプロンプトを起動  sc start rpcapd
  9. 9. RPCAPD の停止 2015/8/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #319  [サービス] の管理コンソール(services.msc)で “Remote Packet Capture Protocol v.0 (experimental)” を開き [停止] をクリック  管理者コマンドプロンプトで sc stop rpcapd を実行
  10. 10. サービスの構成 2015/8/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #3110  レジストリ HKLM¥SYSTEM¥CurrentControlSet¥services¥rpcap d  ImagePath 値(REG_EXPAND_SZ)  起動コマンドラインを指定  環境変数(%ProgramFiles(x86)%)が利用可能  Start 値  スタートアップの種類
  11. 11. Start 値 2015/8/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #3111 データ 定義 動作 0 SERVICE_BOOT_START ブート(ドライバー) 1 SERVICE_SYSTEM_START 起動(ドライバー) 2 SERVICE_AUTO_START 自動(サービス) 3 SERVICE_DEMAND_START 手動(サービス) 4 SERVICE_DISABLED 無効
  12. 12. 既定の設定 2015/8/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #3112  Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE¥SYSTEM¥CurrentControlSet¥services¥rpcapd] “Type”=dword:00000010 “Start”=dword:00000003 “ErrorControl”=dword:00000001 “ImagePath”=hex(2):22,00,25,00,50,00,72,00,6f,00,67,00,72,00,61,00,6d,00 ,46,00,¥ 69,00,6c,00,65,00,73,00,28,00,78,00,38,00,36,00,29,00,25,00,5c,00,57,00,6 9,¥ 00,6e,00,50,00,63,00,61,00,70,00,5c,00,72,00,70,00,63,00,61,00,70,00,64,0 0,¥ 2e,00,65,00,78,00,65,00,22,00,20,00,2d,00,64,00,20,00,2d,00,66,00,20,00,2 2,¥ 00,25,00,50,00,72,00,6f,00,67,00,72,00,61,00,6d,00,46,00,69,00,6c,00,65,0 0,¥
  13. 13. ちなみに 2015/8/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #3113  Type 値  0x1(1) デバイス ドライバー  0x2 (2) カーネル モードのファイル システム ドライバ  0x10 (16) サービス(オウン プロセス)  0x20 (32) サービス(共有プロセス)
  14. 14. RPCAP の起動オプション 2015/8/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #3114  rpcapd [-b <address>] [-p <port>] [-6] | [-4] [-l <host_list>] [-a <host,port>] [-n] [-v] [-d] [-s <file>] [-f <file>]
  15. 15. -b <address> 2015/8/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #3115  RPCAP がバインドされる IP アドレス  既定値はすべての IPv4 アドレスと IPv6 アドレス
  16. 16. -p <port> 2015/8/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #3116  RPCAP がバインドされるポート番号  既定は 2002
  17. 17. [-6] | [-4] 2015/8/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #3117  IPv6 アドレスのみバインド | IPv4 アドレスのみバインド  既定値はすべての IPv4 アドレスと IPv6 アドレス
  18. 18. -l <host_list_file> 2015/8/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #3118  RPCAP の接続を許可するホストのリスト  1行に1つのホスト名を記述したテキスト ファイルを指定  IP アドレスでも DNS 名でも可(推奨はホスト名)
  19. 19. -n 2015/8/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #3119  匿名アクセスを許可  -l オプションで接続可能ホストを指定している場合のみ の設定が推奨される  既定は匿名アクセス無効 (実行ホストで認証できるユーザー名とパスワードが 必要)
  20. 20. -a <host, port> 2015/8/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #3120  アクティブ モードで起動し、 host, port に接続を開始する  このモードで起動した場合も、パッシブ モードでの接続 は可能
  21. 21. -v 2015/8/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #3121  アクティブ モードのみの動作を強制する  - a オプションが指定されている場合でも、パッシブ モー ドでの接続は不可
  22. 22. -d 2015/8/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #3122  RPCAP をバックグラウンドでサービスとして実行  WinPcap をインストールしたときに登録される RPCAP の既定値
  23. 23. -s <file> 2015/8/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #3123  現在の RPCAP の設定を file に保存
  24. 24. -f <file> 2015/8/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #3124  file から設定をロード  ファイルから読み込んだ設定が優先され、他のスイッチ は無視される
  25. 25. -h 2015/8/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #3125  ヘルプの表示
  26. 26. アクティブ モード 2015/8/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #3126  サポートしている(アクティブ モードのクライアントとして 動作する)キャプチャ ツールは http://netgroup.polito.it/tools の “Analyzer” しか紹介されていない  “Analyzer” は開発停止の模様  こちらから入手は可能 http://ftp.tuwien.ac.at/.vhost/analyzer.polito.it/30alpha /
  27. 27. リモート マシンでのキャプチャー開始 2015/8/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #3127 file://filename ローカル ファイルのオープン rpcap://host.foo.bar/adaptername 既定のポートでリモート アダプターのオープン rpcap://host.foo.bar:1234/adaptername ポート番号を指定してリモート アダプターの オープン rpcap://10.11.12.13/adaptername 既定のポートでリモート アダプターのオープン rpcap://10.11.12.13:1234/adaptername ポート番号を指定してリモート アダプターの オープン rpcap://[10.11.12.13]:1234/adaptername ポート番号を指定してリモート アダプターの オープン rpcap://[1:2:3::4]/adaptername 既定のポートでリモート アダプターのオープン (IPv6) rpcap://[1:2:3::4]:1234/adaptername ポート番号を指定してリモート アダプターの オープン(IPv6) rpcap://adaptername RPCAP プロトコルを使用せずローカル アダ プターをオープン
  28. 28. Windowsインストールの既定の起動オプション 2015/8/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #3128  %ProgramFiles(x86)%WinPcaprpcapd.exe” -d -f “%ProgramFiles(x86)%WinPcaprpcapd.ini  RPCAP をサービスとしてバックグラウンドで実行  同じディレクトリの rpcapd.ini から設定を読み込み
  29. 29. 既定の rpcapd.ini 2015/8/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #3129  既定では rpcapd.ini は存在していない  サンプル rpcapd.ini.org # Configuration file help. # Hosts which are allowed to connect to this server (passive mode) # Format: PassiveClient = <name or address> # Hosts to which this server is trying to connect to (active mode) # Format: ActiveClient = <name or address>, <port | DEFAULT> # Permit NULL authentication: YES or NOT NullAuthPermit = NO
  30. 30. リモート キャプチャ ツールの実例 2015/8/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #3130  RPCAPによるリモートパケットモニター http://codezine.jp/article/detail/219  実行ファイル http://codezine.jp/article/download/324  ダウンロード ソースファイル http://codezine.jp/article/download/325  Analyzer http://ftp.tuwien.ac.at/.vhost/analyzer.polito.it/30alpha /download.htm  Active モードに対応したパケット キャプチャ/アナライズツール  開発終了してるので、古い
  31. 31. DEMO 2015/8/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #3131

×