一般にネットワーク上を流れているパケットをダンプするためのツールはいくつか提供されています。代表的なツールとして次のようなものがあります。

■グラフィカルユーザインターフェイス

•Ethereal (UNIX/Windows)
•Microsoft ネットワーク モニタ：netmon.exe (Windows)

■コマンドラインインターフェイス

•TcpDump (UNIX)
•WinDump (Windows)
•netcap コマンド (Windows)

本製品Q&Aでは、GNU General Public Licenseで配布され、無償で利用することのできる Ethereal の使用方法について解説します。

※弊社ではEtherreal、WinPcap、Microsoft ネットワーク モニタ、TcpDump、WinDump、netcap コマンドに関してサポートはしておりません。

■寄せられる質問

Q. Ethereal を使用すると何ができるのですか。
A. リアルタイムにネットワークのトラフィックパターンをキャプチャし、パケットの統計やヘッダ情報等を確認することでネットワーク障害の診断を行うことができます。また、フィルタリング機能やマーキング機能など診断支援するための有効な機能も含まれています。キャプチャしたデータはpcap(tcpdump)形式にて保存され、対応したソフトウェアにより詳細解析を行うことが可能です。

Q. Ethereal を使用するには何を用意する必要がありますか。
A. Ethereal 本体プログラム以外に、パケットキャプチャライブラリを用意する必要があります。Ethereal では pcap ライブラリをサポートしています。

•libpcap (UNIX)
•Winpcap (Windows)

Q. ネットワークインターフェイスカードのプロミスキャスモード(無作為検出モード)とは何ですか。
A. プロミスキャスモードとは自身のコンピュータ以外のパケットもキャプチャするための動作モードです。多くのネットワークインターフェイスカードはプロミスキャスモードに対応しています。詳しくはネットワークインターフェイスカードの製造元にご確認ください。

Q. リモートコンピュータ(監視専用端末)からパケットをキャプチャすることはできますか。
A. IInterScan VirusWall for SMBを導入しているコンピュータに新たなソフトウェアをインストールすることができない場合があります。このような場合、ネットワーク間に次のネットワーク機器を導入することにより、リモートコンピュータ(監視専用端末)からパケットをキャプチャすることができます。

•リピータハブ(共有ハブまたはダムハブ)
•ポートミラーリング(SPAN：Switch Port ANalyse)機能を搭載したスイッチングハブ、ルータ
•タップ

■インストール方法：Windows版

1. WinPcap 3.0のインストーラ(WinPcap auto-installer：WinPcap_3_0.exe)をWinPcapのホームページ(http://winpcap.polito.it/)から入手し、インストールします。
WinPcapがインストールされていないコンピュータで、Etherealを起動すると次のエラーダイアログが表示され、起動できません。

2. Etherealのインストーラ(http://www.ethereal.com/：x.y.zはバージョン番号)をEtherealのホームページ(http://www.ethereal.com/ )から入手し、インストールします。

■パケットのキャプチャ

1. Windowsのスタートメニューから、[プログラム]>[Ethereal]>[ Ethereal]を選択し、Etherealを起動します。

2. ツールバーから[capture]>[start]を選択します。

3. [Ethereal: Capture Options]ウインドウが表示されます。[Interface:]にパケットキャプチャに使用するネットワークインターフェイスカードが選択されていることを確認し、[OK]をクリックします。

※[Capture Options]ウインドウの[Display options]にて、[Update list of packets in real time]、[Automatic scrolling in live capture]チェックボックスをオンにすると、キャプチャの結果をリアルタイムで表示することができます。

4. [Capture]ウインドウが立ち上がりキャプチャが開始されます。

5. 発生している障害の再現を行います。

6. 障害の再現が完了した時点で、[Capture]ウインドウの[Stop]ボタンをクリックします。

7. ウインドウにキャプチャしたパケットが表示されます。

※キャプチャしたパケットはフィルタ機能により、障害の診断に必要な箇所だけ抽出することが可能です。
※上記実行例は、クライアント(192.168.1.200)からWebサーバ(192.168.1.1)へアクセスした際のパケットをキャプチャ・抽出したものです。

8. キャプチャ結果を保存します。ツールバーから[File]>[Save]を選択します。保存先を指定し、取得したパケットダンプを保存します。

■注意

このネットワーク障害診断は、クライアントからのリクエスト要求に対してサーバがどのような応答をしているのか、プロキシなどを経由する毎にどのように変化しているのかを確認するためのものです。使用に際して、次の注意点を考慮する必要があります。

• パケットキャプチャを行うコンピュータと障害診断対象のコンピュータの時刻を同期してください。時刻同期にはNTP(Network Time Protocol)を利用するのが有効です。

• パケットダンプはテキスト形式ではなく、「バイナリ形式」で採取してください。パケットダンプのバイナリフォーマットにはいくつか種類があります。一般的なものであれば問題ありません。(libpcap形式など)