PR

 専用のソフトとは、「プロミスキャスモード」で動くネットワーク処理プログラムである。

 OSが備えるネットワーク処理プログラム(TCP/IPスタック)は、イーサネットの仕様通り、自分宛てのパケットしか受け取らない。このため、パソコンのポート(NIC)に届いた自分宛て以外のパケットをアプリケーションに転送しない。

 一方、プロミスキャスモードで動作するソフトは、NICに届いたすべてのパケットをパケットキャプチャーソフトに転送する(同右)。こうして自分宛てでないパケットも取り込めるようになる。こうしたソフトとしてWiresharkは、「Npcap」を採用している。

通信内容をコピーする

 LANケーブルがリンクを分岐できる構造になっていないという問題は、ミラーリング機能もしくはフラッディング機能を持つスイッチを使うことで解決できる。

 ミラーリングは、ユーザーが指定したポートの通信を、特定のポート(ミラーポート)にコピーする機能を指す(図2-4上)。

図2-4●リンクの分岐に必要な機器
図2-4●リンクの分岐に必要な機器
リンクを分岐してパケットキャプチャーを実行する場合は、ミラーリング機能もしくはフラッディング機能が付いたスイッチが必要になる。
[画像のクリックで拡大表示]

 ミラーリング機能付きのスイッチでリンクを分岐するときは、機器同士をつなぐLANケーブルの一方のプラグを外し、外したポートに別途用意したLANケーブルのプラグを挿す。そして2本のケーブルの、どこにもつないでいないプラグを、ミラーリング機能付きのスイッチのポートに挿す。つまり、元のLANケーブルの間にスイッチを差し込む形になる。

 スイッチの管理機能で、ケーブルを挿したどちらかのポートをミラーリングするように設定すれば、ミラーポートからキャプチャーを実行できるようになる。

 一方のフラッディングは、スイッチのどのポートに届いたパケットもすべてのポートに転送する機能である(同下)。

 フラッディング機能付きのスイッチも、機器の間にスイッチを差し込んでパケットキャプチャーを実行する。

 10年以上前は、リンクの分岐にスイッチではなくリピーターハブを使うことが多かった。リピーターはスイッチングを行わないので、すべてのポートにすべてのパケットが届く。しかしリピーターハブは、10BASE-Tなど低速な規格にしか対応していないため、トラブルにつながる恐れがある

 現在は、フラッディングしか行わない1000BASE-T対応のスイッチが「リピーターハブ」として販売されている。こうした製品はフローコントロールなど、本来のリピーターハブにない機能を搭載しているので見分けがつく。