ネットワークスペシャリスト - SE娘の剣 -

ネットワークスペシャリストの試験対策サイトです。
ネスペ試験の合格体験談、合格のコツ、過去問解説、基礎知識などの情報を掲載します。

カテゴリ:7.リンク層(L1,L2) > 7.2 パケットキャプチャ

少なくとも1回はやってみましょう。書籍などで、フレームの構造などを見ますが、心の底から納得することはできないと感じています。北海道の良さは、写真やテレビでもある程度は分かるでしょうが、本当の良さは現地に行かないとわからないと思います。
 例えがよかったかはさておき、生データをみることが、北海道でいうと現地に行くことになるでしょう。心の底から理解できるはずです。
 また、実務では確実に役立ちます。トラブルシュートには大活躍です。例えば、以下のNATの記事で書いた構成の場合、最初はPCからのPingが通りませんでした。

3

FWでブロックされているかと思いましたが、FWの前後でキャプチャをしてみると、pingはサーバまで届いているのです。でも、応答を返しません。ということは、サーバで破棄されていることが分かりました。
 結果は、ウイルスソフトのIPS機能がpingを拒否していました。同一セグメントからのpingには応答するのですが、違うセグメントからのpingには応答しないとう仕様で、調査に少し時間がかりました。でも、キャプチャのおかげで効率的な調査が行えました。
 キャプチャはWiresharkというフリーのソフトを入れるだけです。ぜひ、入れて、この目で通信を確認してください。

Q.ネットワーク上のパケットを取得するにはどうすればいいか?
女性笑顔
パケットキャプチャは試験にてよく問われますね。
方法はわかりますよ。PCにWireshark(旧イーサリアル)やClearSightなどのキャプチャソフトを入れ、スイッチに接続すればキャプチャできますよ。
いや。それでは不十分だ。自分(キャプチャソフトが入ったPC)が送受信するネットワーク上のパケットは取得できるが、それ以外は取得できない。なぜなら、スイッチングHUBの仕組みにより、宛先MACアドレスをみて、該当ポートにのみパケットを転送するからだ。つまり、キャプチャするPCにはパケットは送信されないのだ。

ではどうするか?

方法1) バカHUBを入れる
なぜこれで取得できるかをイメージしてください。イーサネットの仕組みは、同一セグメントにパケットがながれ、宛先が自分でない場合に破棄するという仕組みをとっているから。キャプチャソフトでは、宛先が自分以外のパケットも取得するようになっている。

方法2) ミラーポートの設定
上位のスイッチ(L2、L3を問わず)では、ミラーポートの設定というのが行える。

Catalystの設定例:IF0/1で、IF0/2のポートをキャプチャする場合。
interface fastethernet 0/1
 port monitor Fastethernet 0/2 

過去問(平成21年午後1問1)では、ミラーポートを使ったフレーム解析の例が記載されている。(※一部改変)
L2SWの未使用ポートを、Xポートのミラーポートとして設定して、トラフィックモニタを接続し、通信されているフレームを解析してみた。 

過去問(H21年午後玉2)での穴埋め問題
情報を収集するためにトラフィックモニタを利用して調査しようと考えた。しかし,サーバαを接続するL2SW-2には,[ ク ]機能がなかったので,サーバのソフトを利用して調査した。

正解は「ミラーリング」。ミラーリングとは,あるポートで送受信されているトラフィックを別のポートに鏡(ミラー)のように出力する機能。

加えて、パケットを取り込むPC側の設定も必要
Wiresharkでパケットキャプチャをするときは、「プロミスキャスモード(promiscuous mode)」を設定する。プロミスキャス(無差別)モードを設定しないと、自分宛ではないフレームを廃棄してしまう。
(※この点は、H26NW午後玉2設問3(1)にて、関連する出題あり)


メモでして、後日ゆっくり書きます。
Wiresharkのダウンロード
◆  掘,離ぅ鵐好函璽襦WinPcap
Interface ListからキャプチャするIFを選択した「Start」
Filter欄をうまく使う。例えば、icmpなどのプロトコルを入れると、該当するプロトコルのみにフィルターされる。
以下は、icmpでフィルタした例
filter
その他のフィルタ例は
  ・除外する (例)ICMPを除外 ⇒!icmp
  ・IPアドレスを指定する ip.addr==192.168.1.1

では、実際の内容をWiresharkのキャプチャ画面で見てみましょう。
次のARPパケットは、192.168.1.1は誰かを聞いています。
一番上が概要で、2つ目が詳細データです。一番下の欄が生データです。どれも大事ですが、一番下まで見ておくと、すっきり分かると思います。
一番上の概要
arp0

詳細
arp1
こちらを見ると、フレームの中を全て確認できます。
以下を参照に、ARPのフレームフォーマットと照らし合わせながら確認いただくといいでしょう。
http://nw.seeeko.com/archives/cat_10022007.html
そして、上記に書いたフレーム構造と合致していることも理解いただけるでしょう。

一番下の生データ(16進数データ)
arp2

生データお見ましょう。
例えば、このARPのイーサネットヘッダとして、宛先MACアドレスFFFFFFFFFFFがセットされています。生データでも0行目(0000)にfffffffffffがセットされ、次は送ったMACアドレスがそのままセットされています。
そのあと、TypeはARPの0806が入っています。実際のデータは16進数だけでなく、2進数なので01データですが、なんとなく実際の通信がイメージできたのではないでしょうか。

このページのトップヘ