全3190文字
PR

 Part2では、Pktmonで取得したパケットをパケットキャプチャーソフトのWiresharkで分析する。

 Wiresharkを導入済みのパソコンがあるなら、「Wiresharkでパケットを取得すればよいのではないか」と思われるかもしれない。しかしトラブルが起きた現場でWiresharkを導入したパソコンがすぐに用意できるとは限らない。例えば、遠隔地にあるパソコンでトラブルが発生した場合にリモートでインストールするのは難しい。セキュリティーポリシーにより現場のパソコンにWiresharkをインストールできない場合もある。

 そのような場合でも、Windows標準ツールであるPktmonを使えばパケットを取得できる。取得したログファイルをネットワーク管理者に転送して、専用のパソコンで分析するといった対応ができる(図2-1)。

図2-1●手元にないパソコンやサーバーの通信を解析する
図2-1●手元にないパソコンやサーバーの通信を解析する
遠隔地のパソコンやサーバーにWiresharkを導入するのは難しい。PktmonはWindowsに標準搭載されているのでどこでも実行できる。これを利用してログファイルを取得し管理者のパソコンに転送すれば、Wiresharkを使って解析できる。
[画像のクリックで拡大表示]

変換後に読み込む

 Part1で説明したように、PktmonのログファイルはETL形式で保存される。このままではWiresharkで読み込めないので、「pktmon etl2pcap」コマンドを用いてPCAPNG形式に変換する。PCAPNG形式はWiresharkの標準ファイル形式だ。このファイルをWiresharkで読み込むと、キャプチャーしたパケットが一覧表示される(図2-2)。

図2-2●Wiresharkの画面構成
図2-2●Wiresharkの画面構成
取得したパケットの一覧を一番上のパケットリスト欄に表示する。パケットを選ぶと、IPアドレスやイーサネットなどの各種ヘッダーの情報を下段のパケットディテール欄に表示する。パケットバイト欄には16進数やASCIIコードのデータを表示する。
[画像のクリックで拡大表示]

 ファイルを読み込んだ直後のWiresharkの画面は大きく3つの領域に分かれている。上から「パケットリスト」「パケットディテール」「パケットバイト」という。

 1番上にあるパケットリストには、取得したパケットが一覧表示される。各行が1つのパケットを表し、取得した順番に並ぶ。キャプチャーを開始してから経過した時間や送信元/宛先のIPアドレス、通信プロトコルの種類などが表示される。

 パケットリストでパケットの行を選んでクリックすると、パケットディテールとパケットバイトにパケットの詳細な情報が表示される。

 パケットディテールにはイーサネットやIPなどプロトコルごとに対象パケットの情報がまとめられている。各行先頭にある「>」をクリックすると、各プロトコルに関する詳細な情報が表示される。送信元/宛先のアドレスのほかにTCPの制御パケットの情報(SYNやACK)なども表示する。

 パケットバイトには、ヘッダー情報を含むバイナリーデータが16進数とASCIIコードで表示される。パケットバイトの左側が16進数で表示したデータ。右側がASCIIコードで表示したデータである。