Q.ネットワーク上のパケットを取得するにはどうすればいいか?
女性笑顔
パケットキャプチャは試験にてよく問われますね。
方法はわかりますよ。PCにWireshark(旧イーサリアル)やClearSightなどのキャプチャソフトを入れ、スイッチに接続すればキャプチャできますよ。
いや。それでは不十分だ。自分(キャプチャソフトが入ったPC)が送受信するネットワーク上のパケットは取得できるが、それ以外は取得できない。なぜなら、スイッチングHUBの仕組みにより、宛先MACアドレスをみて、該当ポートにのみパケットを転送するからだ。つまり、キャプチャするPCにはパケットは送信されないのだ。

ではどうするか?

方法1) バカHUBを入れる
なぜこれで取得できるかをイメージしてください。イーサネットの仕組みは、同一セグメントにパケットがながれ、宛先が自分でない場合に破棄するという仕組みをとっているから。キャプチャソフトでは、宛先が自分以外のパケットも取得するようになっている。

方法2) ミラーポートの設定
上位のスイッチ(L2、L3を問わず)では、ミラーポートの設定というのが行える。

Catalystの設定例:IF0/1で、IF0/2のポートをキャプチャする場合。
interface fastethernet 0/1
 port monitor Fastethernet 0/2 

過去問(平成21年午後1問1)では、ミラーポートを使ったフレーム解析の例が記載されている。(※一部改変)
L2SWの未使用ポートを、Xポートのミラーポートとして設定して、トラフィックモニタを接続し、通信されているフレームを解析してみた。 

過去問(H21年午後玉2)での穴埋め問題
情報を収集するためにトラフィックモニタを利用して調査しようと考えた。しかし,サーバαを接続するL2SW-2には,[ ク ]機能がなかったので,サーバのソフトを利用して調査した。

正解は「ミラーリング」。ミラーリングとは,あるポートで送受信されているトラフィックを別のポートに鏡(ミラー)のように出力する機能。

加えて、パケットを取り込むPC側の設定も必要
Wiresharkでパケットキャプチャをするときは、「プロミスキャスモード(promiscuous mode)」を設定する。プロミスキャス(無差別)モードを設定しないと、自分宛ではないフレームを廃棄してしまう。
(※この点は、H26NW午後玉2設問3(1)にて、関連する出題あり)