
では、H19年午後2 問1をじっくり読みこんでいきましょう。
ポイントは、一言一句すべて、納得いくまで理解することです。

◆フォレンジックシステムとは何でしょうか?説明してください。
ログをとることとはどう違いますか?
◆証拠性のある形で保存するとはどういうこと?普通の保存との違いは?それを実現する具体的な技術は?
◆ネットワーク上のパケットを採取する方式を具体的に?
ここで、この件に関していくつかコメントします。
通常、ネットワーク上のパケットを取得するにはどうするかというと、PCにWireshark(旧イーサリアル)などのキャプチャソフトを入れてパケットを取得します。
しかし、これだけでは不十分です。なぜか。

それは私でもわかります。
ネットワーク上のパケットではなくホストのパケット取得になるからな。L3SwithやL2SwithcにWiresharkなどのキャプチャソフトの入ったPCをつなげばいいですね。
それだけでは駄目ですよね。
その点も理解して言われてますか?
スイッチングHUBの仕組みにより、宛先MACアドレスをみて、該当ポートにのみ送信するからです。
つまり、キャプチャ用のPCをつないでも、ブロードキャストパケットなどしか受信できません。
じゃあどうします?

バカHUBを入れる。なぜこれで取得できるかをイメージしてください。イーサネットの仕組みは、同一セグメントにパケットがながれ、宛先が自分でない場合に破棄するという仕組みをとっているから。キャプチャソフトでは、宛先が自分以外のパケットも取得するようになっている。

ミラーポートの設定。上位のスイッチ(L2、L3を問わず)では、ミラーポートの設定というのが行える。
Catalystの例
IF0/1で、IF0/2のポートをキャプチャする場合。
interface fastethernet 0/1
port monitor Fastethernet 0/2
Copyright (C) 2011〜 nw.seeeko.com ネットワークスペシャリスト - せーこのつるぎ -