一般にネットワーク上を流れているパケットをダンプするためのツールはいくつか提供されています。代表的なツールとして次のようなものがあります。
■グラフィカルユーザインタフェース
• Microsoft ネットワーク モニタ:netmon.exe (Windows)
■コマンドラインインタフェース
• snoop コマンド (Solaris)
本製品Q&Aでは、GNU General Public Licenseで配布され、無償で利用することのできる Ethereal の使用方法について解説します。
*弊社ではEtherreal、WinPcap、Microsoft ネットワーク モニタ、TcpDump、snoop コマンド、WinDump、netcap コマンドに関してサポートはしておりません。
■寄せられる質問
1. Q. Ethereal を使用すると何ができるのですか。
A. リアルタイムにネットワークのトラフィックパターンをキャプチャし、パケットの統計やヘッダ情報等を確認することでネットワーク障害の診断を行うことができます。また、フィルタリング機能やマーキング機能など診断支援するための有効な機能も含まれています。キャプチャしたデータはpcap(tcpdump)形式にて保存され、対応したソフトウェアにより詳細解析を行うことが可能です。
2. Q. Ethereal を使用するには何を用意する必要がありますか。
A. Ethereal 本体プログラム以外に、パケットキャプチャライブラリを用意する必要があります。Ethereal では pcap ライブラリをサポートしています。
3. Q. ネットワークインタフェースカードのプロミスキャスモード(無作為検出モード)とは何ですか。
A. プロミスキャスモードとは自身のコンピュータ以外のパケットもキャプチャするための動作モードです。多くのネットワークインタフェースカードはプロミスキャスモードに対応しています。詳しくはネットワークインタフェースカードの製造元にご確認ください。
4. Q. リモートコンピュータ(監視専用端末)からパケットをキャプチャすることはできますか。
A. Trend Micro Network VirusWall 1200にはソフトウェアをインストールすることができません。このため、ネットワーク間に次のネットワーク機器を導入することにより、リモートコンピュータ(監視専用端末)からパケットをキャプチャすることができます。
o リピータハブ(共有ハブまたはダムハブ)
o ポートミラーリング(SPAN:Switch Port ANalyse)機能を搭載したスイッチングハブ、ルータ
o タップ
5. Q. Etherealのインストーラ入手先が分かりません。
A. [Ethereal Download]ページにて、「Source Code」、「Windows 98/ME/2000/XP/2003 Installers」、「Red Hat Linux / Fedora Packages」、「Solaris Packages」が公開されています。
■インストール方法:Windows版
1. WinPcap 3.0のインストーラ(WinPcap auto-installer:WinPcap_3_0.exe)をWinPcapのホームページ(http://www.winpcap.org/)から入手し、インストールします。
WinPcapがインストールされていないコンピュータで、Etherealを起動すると次のエラーダイアログが表示され、起動できません。
2. Etherealのインストーラ(ethereal-setup-x.y.z.exe:x.y.zはバージョン番号)をEtherealのホームページ(http://ethereal.zing.org/)から入手し、インストールします。
■パケットのキャプチャ
1. Windowsのスタートメニューから、[プログラム]>[Ethereal]>[Ethereal]を選択し、Etherealを起動します。
2. ツールバーから[capture]>[start]を選択します。
3. [Ethereal: Capture Options]ウインドウが表示されます。[Interface:]にパケットキャプチャに使用するネットワークインタフェースカードが選択されていることを確認し、[OK]をクリックします。
[Capture Options]ウインドウの[Display options]にて、[Update list of packets in real time]、[Automatic scrolling in live capture]チェックボックスをオンにすると、キャプチャの結果をリアルタイムで表示することができます。
4. [Capture]ウインドウが立ち上がりキャプチャが開始されます。
5. 発生している障害の再現を行います。
6. 障害の再現が完了した時点で、[Capture]ウインドウの[Stop]ボタンをクリックします。
7. ウインドウにキャプチャしたパケットが表示されます。
*キャプチャしたパケットはフィルタ機能により、障害の診断に必要な箇所だけ抽出することが可能です。
*上記実行例は、クライアント(192.168.1.200)からWebサーバ(192.168.1.1)へアクセスした際のパケットをキャプチャ・抽出したものです。
8. キャプチャ結果を保存します。ツールバーから[File]>[Save]を選択します。保存先を指定し、取得したパケットダンプを保存します。
■注意
このネットワーク障害診断は、クライアントからのリクエスト要求に対してサーバがどのような応答をしているのか、プロキシなどを経由する毎にどのように変化しているのかを確認するためのものです。使用に際して、次の注意点を考慮する必要があります。
• パケットキャプチャを行うコンピュータと障害診断対象のコンピュータの時刻を同期してください。時刻同期にはNTP(Network Time Protocol)を利用するのが有効です。
• 現象再現時にパケットダンプとあわせてシステムログの取得を行ってください。ログ採取手順は、以下の製品Q&Aをご覧ください。
製品Q&A:8772「システムログ表示ツール(TMNVW.EXE)の使用方法」
• パケットダンプはテキスト形式ではなく、「バイナリ形式」で採取してください。パケットダンプのバイナリフォーマットにはいくつか種類があります。一般的なものであれば問題ありません。(libpcap形式やsnoop形式など)