パケットをキャプチャする方法

去年と、ここ最近、知り合いと言っても、そこそこパソコンの知識がある人から
ネットワークのトラブルの話があって

そんなのパケットを見たら、わかるだろって思った。
ネットワークのセキュリティとか、ハッカーだったら、ごくごく当たり前で
トラブルの解決の一つで、パケットを見ることが、最初の一歩だろう。

そこで、問題の箇所、ネットワークのどの部分に問題があるのか
他にどこを調べる必要があるのかの手がかりで

ハッキングを行うのでも、当然、侵入したネットワークの調査は行っている。
少なくとも侵入されたシステムを見る限り、そういう事をやっている形跡がある。

では、Windowsの場合だと
何を使ってパケットを取得するのかというと

Windows 2000-2003 Serverの時代は、OSにNetwork Monitorが標準で付属していました。
OSのコンポーネントの追加で、[プログラムの追加と削除]の[Windowsコンポーネントの追加と削除]から追加

Windows2008からは、Network MonitorはOSには付属しなくなり
ダウンロードになりました。

https://www.microsoft.com/en-us/download/details.aspx?id=4865

https://docs.microsoft.com/en-us/archive/blogs/jpntsblog/network-monitor-3

Network Monitorインストール時には基本的にOS再起動は必要ない
[Temporary capture file] の [Size] 項目は必ず大きくしておく
パケットを取得しているつもりでサイズの上限に達していて取得できていなかった事が過去あった。

スイッチ、ルーターのミラーポート設定にて別端末でパケットを取得する。
プロミスキャスモード(自分宛のパケット以外も取得するモード)にしておかないと目的のパケットが取得できない。
もちろん、プロミスキャスモード対応のNICが必要。

ここ最近、ドライバーとか、NICが対応してない製品がある。
理由は、MACアドレスを自由に設定する事で、ハッキングに使えるから、ハッキング対策です。

ネットワーク上でパケットロストなども疑われる場合には1つのホスト上だけではなくて、通信相手でも同時にパケットをキャプチャし、両方を突き合わせて解析する。

Kali linuxを使うと、楽。

https://www.kali.org/get-kali/

解析で、Network Monitorを使っても良いが、Network Monitorのファイル形式(pcap)が読み込める
WireSharkは、ネットワーク解析の定番です。

https://www.wireshark.org/

Filterの部分にtcp.analysis.と入力して、ネットワーク的に、おかしくなっていると思われるのは

tcp.analysis.ack_lost_segment
パケットがロストしている
tcp.analysis.duplicate_ack
パケットが重複している
tcp.analysis.fast_retransmission
再送が発生している
tcp.analysis.lost_segment
パケットがロストしている
tcp.analysis.out_of_order
パケットの到達順序が入れ替わっている
tcp.analysis.retransmission
再送が発生している
tcp.analysis.window_full
データ受信が遅くなっている
tcp.analysis.zero_window
データ順が遅くなっている

あたりだと思います。

今回は、某氏に説明する為みたいな感じになってしまってます。

コメントを残す

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください