一般にネットワーク上を流れているパケットをダンプするためのツールはいくつか提供されています。代表的なツールとして次のようなものがあります。

■グラフィカルユーザインターフェイス

•Wireshark (Linux / Windows)
•Microsoft ネットワーク モニタ：netmon.exe (Windows)

■コマンドラインインターフェイス

•TcpDump (UNIX / Linux)
•WinDump (Windows)
•netcap コマンド (Windows)

本製品Q&Aでは、GNU General Public Licenseで配布され、無償で利用することのできる Wireshark (旧Ethereal)の使用方法について解説します。

※弊社ではWireshark、WinPcap、Microsoft ネットワーク モニタ、TcpDump、WinDump、netcap コマンドに関してサポートはしておりません。

■寄せられる質問

Q. Wireshark を使用すると何ができるのですか。

A. リアルタイムにネットワークのトラフィックパターンをキャプチャし、パケットの統計やヘッダ情報等を確認することでネットワーク障害の診断を行うことができます。また、フィルタリング機能やマーキング機能など診断支援するための有効な機能も含まれています。キャプチャしたデータはpcap(tcpdump)形式にて保存され、対応したソフトウェアにより詳細解析を行うことが可能です。

Q. Wireshark を使用するには何を用意する必要がありますか。

A. Wireshark 本体プログラム以外に、パケットキャプチャライブラリを用意する必要があります。Wireshark では pcap ライブラリをサポートしています。

•libpcap (UNIX)
•Winpcap (Windows)
　※WinPcapは、Wiresharkのインストーラに同梱されています。

Q. ネットワークインターフェイスカードのプロミスキャスモード(無作為検出モード)とは何ですか。

A. プロミスキャスモードとは自身のコンピュータ以外のパケットもキャプチャするための動作モードです。多くのネットワークインターフェイスカードはプロミスキャスモードに対応しています。詳しくはネットワークインターフェイスカードの製造元にご確認ください。

Q. リモートコンピュータ(監視専用端末)からパケットをキャプチャすることはできますか。

A. IInterScan VirusWall for SMBを導入しているコンピュータに新たなソフトウェアをインストールすることができない場合があります。このような場合、ネットワーク間に次のネットワーク機器を導入することにより、リモートコンピュータ(監視専用端末)からパケットをキャプチャすることができます。

•リピータハブ(共有ハブまたはダムハブ)
•ポートミラーリング(SPAN：Switch Port ANalyse)機能を搭載したスイッチングハブ、ルータ
•タップ

■インストール方法：Windows版

WiresharkのインストーラをWiresharkのホームページ(http://www.wireshark.org/)から入手し、インストールします。



■パケットのキャプチャ

1. Windowsのスタートメニューから、[プログラム]>[Wireshark]>[ Wireshark]を選択し、Wiresharkを起動します。

2. ツールバーから[capture]>[Interfaces...]を選択します。



3. [Wireshark: Capture Interfaces]ウインドウが表示されます。パケットキャプチャに使用するネットワークインターフェイスカードが表示されていることを確認し、そのカードの右にある [Start]をクリックします。



4. パケットキャプチャが開始され、ウィンドウ内に受信したパケットが表示されます。キャプチャ中はWiresharkのタイトルバーのアイコンが緑色に変わります。



この状態で、発生している障害の再現を行います。再現時刻を記録します。

5. 障害の再現が完了した時点で、ストップボタンを押してキャプチャを終了させます。



※キャプチャしたパケットはフィルタ機能により、障害の診断に必要な箇所だけ抽出することが可能です。

6. キャプチャ結果を保存します。ツールバーから[File]>[Save]を選択します。保存先を指定し、取得したパケットダンプを保存します。

■注意

このネットワーク障害診断は、クライアントからのリクエスト要求に対してサーバがどのような応答をしているのか、プロキシなどを経由する毎にどのように変化しているのかを確認するためのものです。使用に際して、次の注意点を考慮する必要があります。

・パケットキャプチャを行うコンピュータと障害診断対象のコンピュータの時刻を同期してください。時刻同期にはNTP(Network Time Protocol)を利用するのが有効です。

・パケットダンプはテキスト形式ではなく、「バイナリ形式」で採取してください。パケットダンプのバイナリフォーマットにはいくつか種類があります。一般的なものであれば問題ありません。(libpcap形式など)