あやしいトラフィックを発見
眠い目をこすりながら出社して、早速ログを見てみると、同じIPアドレスからばかりインターネットへのアクセスがあります。
社内の昨夜のトラフィックデータ
$ cat dump2.log 20:40:56.549415 IP ntkngw193051.kngw.nt.ftth.ppp.infoweb.ne.jp.14345 > 192.168.0.9.goldleaf-licman: . 26387:27801(1414) ack 72 win 65464 20:40:56.550957 IP ntkngw193051.kngw.nt.ftth.ppp.infoweb.ne.jp.14345 > 192.168.0.9.goldleaf-licman: . 27801:29215(1414) ack 72 win 65464 20:40:56.551125 IP 192.168.0.9.goldleaf-licman > ntkngw193051.kngw.nt.ftth.ppp.infoweb.ne.jp.14345: . ack 29215 win 16968 20:40:56.552828 IP ntkngw193051.kngw.nt.ftth.ppp.infoweb.ne.jp.14345 > 192.168.0.9.goldleaf-licman: P 29215:30549(1334) ack 72 win 65464 20:40:56.644697 IP yahoobb220037128158.bbtec.net.24999 > 192.168.0.9.netware-csp: . ack 497732 win 65535 20:40:56.664849 IP yahoobb220037128158.bbtec.net.24999 > 192.168.0.9.netware-csp: . 427299:428759(1460) ack 497732 win 65535 20:40:56.681109 IP yahoobb220037128158.bbtec.net.24999 > 192.168.0.9.netware-csp: . 428759:430219(1460) ack 497732 win 65535 20:40:56.681285 IP 192.168.0.9.netware-csp > yahoobb220037128158.bbtec.net.24999: . ack 430219 win 17520 20:40:56.697142 IP yahoobb220037128158.bbtec.net.24999 > 192.168.0.9.netware-csp: . 430219:431679(1460) ack 497732 win 65535 20:40:56.713887 IP yahoobb220037128158.bbtec.net.24999 > 192.168.0.9.netware-csp: . 425839:427299(1460) ack 497732 win 65535 20:40:56.714029 IP 192.168.0.9.netware-csp > yahoobb220037128158.bbtec.net.24999: . ack 431679 win 17520 20:40:56.717027 IP 192.168.0.9.goldleaf-licman > ntkngw193051.kngw.nt.ftth.ppp.infoweb.ne.jp.14345: . ack 30549 win 15634 20:40:56.729897 IP yahoobb220037128158.bbtec.net.24999 > 192.168.0.9.netware-csp: . 431679:433139(1460) ack 497732 win 65535 20:40:56.746407 IP yahoobb220037128158.bbtec.net.24999 > 192.168.0.9.netware-csp: P 433139:434599(1460) ack 497732 win 65535 (長いので抜粋です)
何か怪しいことに使われているIPアドレスは192.168.0.9だということは分かったのですが、このアドレスはDHCPで割り当てられているので誰がどのIPアドレスを使っているのか分かりません。しょうがないので律子さんは、夜まで待って、残業している福嗣君と一緒にハブを見回ることにします。
LEDが激しく点滅しているハブがあればそこに接続されているに違いありません。
人が少しずつ帰っていき、人が少なくなった会社をうろうろしていると、LEDが激しく点滅しているのを発見しました。
周りを見ると、そのトラフィックを作っていると思われる人がいます。何げなく背後に近づいていくと、デスクトップにはPtoPソフトが動いています。
律子 「ちょっと何してるんですか?」
トラフィックを作ってる人 「あ、あ、これは仕事……」
律子 「なわけないやろ!」
トラフィックを作ってる人 「え、なんで分かったん!?」
もう二度と会社でファイル共有ソフトは使わないということで、今回だけは内密に処理することにしましたが、会社からインターネットへのフィルタリングを真剣に考えないといけないのかなあと悩む律子さんでした。
ちょっと解説<トラフィック異常のトラブル>
社内からインターネットへのアクセスや、ユーザーが自分のマシンへのソフトのインストールをある程度自由にしておくと、社内から好き放題するユーザーが出てくることがあります。程度とポリシーによるのですが、帯域が圧迫されたり、情報流出など会社の信用を落とすことも出てきますので、最低限異常な量のトラフィックや怪しいポートへのアクセスだけは監視しておいた方がいいでしょう。
ルータやプリンタなどSNMPを使えるマシンに対してはmrtgというソフトを使ってトラフィックやNICの状態などの監視ができます(プライベートMIBを使うことでCPUの状態なども監視可能)ので定期的に確認して状態の変化を見逃さないようにしましょう。
また、SNMPでは分からない個々のパケットについてはtcpdump(Windowsではwindump)を使うことで監視することが可能です。同様の機能を持ったグラフィカルなフリーツールとしてEtherealなどもありますので、それらを使ってもいいでしょう。なお、ネットワークに流れるパケットを取得する場合にはミラーリングポートがあるスイッチか、リピータを用いる必要がありますので忘れないようにしましょう。
※今回使うコマンドはWindowsでは使えませんが、それに代わるソフトを紹介していますのでコマンドを使わずにそちらを使うことで対応できます。
また、Linuxでもデフォルトの状態では使えない場合もありますので、その場合はインストールが必要になります。(著者)
この連載は@IT Master of IP Networkフォーラムの会議室のやりとりを参考にしています。
Copyright © ITmedia, Inc. All Rights Reserved.