第1回 センパイ、パケットキャプチャって
なんですか?
はじめまして!新入社員のるこです。何を隠そうネットワーク超初心者なんです!ご指導よろしくお願いします!
よろしく。初心者だからって甘えさせないので覚悟してね。
は、はーい・・・
るこちゃん、こんにちは~~
えっ、誰?なに?
シャー子さんの”ちょっとわけアリ”背後霊のえあぷぅと申しマス。
えっ、”ちょっとわけアリ”背後霊?しかもハムスター?
シャー子さんにはボクの姿は見えないんデス。
ボクが色々ヘルプ出すので、がんばってシャー子さんのしごきに耐えてクダサイ!
なんか強引かつ唐突すぎる登場でうまく飲み込めないんだけど・・・よろしく・・・。
さっきから何ひとりでブツブツ言ってるの??
あ、いえ、何でもないです。すみませーん・・・
じゃあ今日は、ネットワーク技術者としての基本、基礎の基礎、パケットキャプチャをやってもらうわ。
パ、パケットキャプチャー?
UFOキャッチャー・・・みたいな???
あ、るこちゃん、シャー子さんそういうボケ嫌いデス・・・
はぁ?ぜんぜん違うわよ。つまんないボケかましてないで、わかんないことあったらググったら??
うわっ、すみませんっ!
るこちゃん、パケットキャプチャっていうのは、ネットワーク上を実際に流れているパケットを採取して見ることデスよ。
なるほど!パケットをキャプチャ(=採取)するってことか!
そうよ。パケットキャプチャツールを使えばパケットの中身も見えるわ。
中身を見る?何のために??
ネットワーク障害の原因を特定するためよ。インターネットに繋がらなかったり、無線が繋がらなかったり・・・
その時に使用されているプロトコルを解析することで、障害の原因を特定して復旧することができるの。
まるほどー!
じゃあまずはパケットキャプチャツールの定番、Wiresharkをインストールして。
るこちゃん、Wiresharkはここからダウンロードしてクダサイ。
はい!インストールしました!
うちの部署では、無線LANのパケットをキャプチャして解析することが多いの。だからAirPcapをPCに接続して。
えあぴーきゃっぷぅ~??
えあぷぅ・・・
シャー子さん・・・早く元気になって。。。
AirPcapっていうのは無線LANをキャプチャするために必要な、USB無線LANアダプタのことデス、るこちゃん!
エアピーキャップ・・・取り付けました!
じゃあ、早速無線LAN経由でのYoutubeのストリーミングをキャプチャしてみましょうか。キャプチャするときは、こうやってまず自分で構成図を描いたらわかりやすいわよ。
お、おぉ・・・シャー子さんって絵心があまり・・・・
るこちゃん!!みなまで言っちゃダメデス!
うるさいわね!構成図に絵心なんて関係ないわよ!
す、すみませーん。
Wiresharkの画面でキャプチャするインターフェースを選び、Startを押してキャプチャ開始。自分が接続しているAPのチャンネルを合わせること。
うぐ・・・なんかすごい勢いで何かが流れていってる・・・・
・・・。
何?
パケットの多さに圧倒されすぎて息を止めてみました;
で?
無駄なことしてないでさっさとパケット解析したら?
はーい!
るこちゃんファイトデス~~~~
まぁ、パケットが多すぎて解析しにくいようなら、シールドルームに入ってキャプチャするという手もあるわ。
シールドルーム?
あらゆる電磁波を遮断した部屋のことデス!
あ、外からのパケットが入ってこないのか!
そう。キャプチャするパケットを物理的に減らすことができるのよ。
そのお部屋いいですね・・・もうパケットの多さに目が回りそうで・・・
ただ、夏場のシールドルームは冷房が効きすぎて極寒だからカーディガン必須・・・。
シャー子さん寒がりだからシールドルームが嫌いなんデス。
ま、それはさておき、シールドルームで物理的にパケットを減らす他に、ディスプレイフィルタを使ってパケットを見やすくする方法もあるわ。
ディスプレイフィルタ??
画面左上の「Filter:」の右に例えば「ip.addr==192.168.1.1」と入力することで「送信元あるいは宛先IPアドレスが192.168.1.1であるパケット」のみを抽出して表示してくれるの。ま、こういう基本的なのはインターネットでググったら一発で出てくるから自分で調べといて。
はい!
私たちがよく使うのは無線LANのフィルタね。たとえば
「wlan.bssid == 00:11:22:33:aa:bb(APのMAC)」と指定して、自分が接続している無線APのパケットのみを抽出したり、「wlan.fc.type_subtype == 0x04」や「wlan.fc.type_subtype == 0x05」と指定して、Probe RequestやProbe Responseのみを抽出したり。 「||(または)」や「&&(かつ)」などの演算子も使用可能よ。
るこちゃん!「wlan.addr contains aa:bb:cc:dd(APのMACの一部)」とか「wlan.addr contains 00:11:22:33:44:55(機器のMACの一部)」のようにMACアドレスの一部のみを記述することもできマス。これをorでつなげてみてクダサイ!
なるほど~。フィルタをかけると、通信している機器と無線APのみのパケットを抽出できるんだ~!
あなた初心者のくせに随分マニアックなフィルタかけるわね。これはマルチセキュリティ対応APの場合に、SSID毎にMACアドレスの一部(最上位パートか最下位パート)を変更する製品があるの。そういう場合に有効よ。
マルチセキュリティ・・・?さ・・さっぱりです・・・;
マルチセキュリティっていうのは、異なる暗号化レベルを混在利用できる機能のことデス!
まぁ、無線のプロトコルやセキュリティに関してはおいおい理解していって。
そうですね、、おいおい勉強します・・・。
でもほんと、ディスプレイフィルタって便利なんですね~!もっと複雑な条件式とか、こんなフィルタもかけてみよ!!!(カチャカチャカチャ・・・)
あ?!?!???!なんかフリーズしちゃいましたけどーーーー??!?!
あ!無線LANをキャプチャしてるときは、パケット数が多すぎて、フィルタとか暗号のデコードみたいな負荷の高いことしようとするとすぐにフリーズしちゃうんデス・・・
まずはキャプチャを止めて、データを保存してからフィルタなりデコードなりするのが基本よ。でなきゃせっかくキャプチャしたデータがおじゃん。またやりなおしね。
そうなんですかぁ~~;
連続試験とかで膨大なキャプチャデータを取った後なんかにやらかしがちよ。気をつけて。
はい、パケットキャプチャの基本は「まず保存!」ですね!!!
※「Wireshark」は、Wireshark Foundation, Inc. の登録商標です。
※「AirPcap」は、Riverbed Technologyの登録商標です。
