女性目閉じる
では、H19年午後2 問1をじっくり読みこんでいきましょう。
ポイントは、一言一句すべて、納得いくまで理解することです。
H19PM2-1
フォレンジックシステムとは何でしょうか?説明してください。
ログをとることとはどう違いますか?
証拠性のある形で保存するとはどういうこと?普通の保存との違いは?それを実現する具体的な技術は?
ネットワーク上のパケットを採取する方式を具体的に?

ここで、この件に関していくつかコメントします。

通常、ネットワーク上のパケットを取得するにはどうするかというと、PCにWireshark(旧イーサリアル)などのキャプチャソフトを入れてパケットを取得します。
しかし、これだけでは不十分です。なぜか。
女性笑顔
それは私でもわかります。
ネットワーク上のパケットではなくホストのパケット取得になるからな。L3SwithやL2SwithcにWiresharkなどのキャプチャソフトの入ったPCをつなげばいいですね。
それだけでは駄目ですよね。
その点も理解して言われてますか?
 スイッチングHUBの仕組みにより、宛先MACアドレスをみて、該当ポートにのみ送信するからです。
つまり、キャプチャ用のPCをつないでも、ブロードキャストパケットなどしか受信できません。
じゃあどうします?

対処策1
 バカHUBを入れる。なぜこれで取得できるかをイメージしてください。イーサネットの仕組みは、同一セグメントにパケットがながれ、宛先が自分でない場合に破棄するという仕組みをとっているから。キャプチャソフトでは、宛先が自分以外のパケットも取得するようになっている。

対処策2
ミラーポートの設定。上位のスイッチ(L2、L3を問わず)では、ミラーポートの設定というのが行える。
Catalystの例
IF0/1で、IF0/2のポートをキャプチャする場合。
interface fastethernet 0/1
 port monitor Fastethernet 0/2