第2回 名前のないセキュアシェル


草場 英仁
三井物産セキュアディレクション株式会社
ビジネスデベロップメント部 主席研究員
2008/4/10


 やっぱりサーバルームに異常あり?

 冷え冷えとしたサーバ室に戻ってきました。身も心もお寒い状況です。取りあえずOAチェアに腰を下ろして状況を整理してみます。クライアント側には特に問題はないようだけど、sshにはひどい遅延が起きている。でもサーバのsshの設定を見直しても特に問題はなし。うーん、もっと情報を!

 そういえば、とまだ試していなかったことを思い付きました。サーバ側でWiresharkを用いた調査をしていませんでした。ここは最後の神頼み。これで駄目なら守屋部長代理に相談してみよう。普段は寡黙で何を考えているのかよく分からない人なのに、開発部から営業部まで、結構な責任者がよく相談に訪れるのです。いままではなんとか自力でこなせていたけど、今回はギブアップかも。

 サーバ室のスイッチはポートミラーリング機能が付いている、フロアスイッチよりもちょっと高級なスイッチです。ポートミラーリング機能とは、あるポートに来たパケットを別の指定したポートに転送してくれる機能です。早速ssh先のサーバを接続しているポートを、自分のPCが接続されているポートへ転送するための設定を施します。

 使い慣れたWiresharkを起動します。太田の席のそばの同期に連絡して、太田のPCからsshで接続してもらいます。やはり、プロンプトが出てくるのが遅いようです。早速キャプチャしたファイルを開き、解析を開始しましょう。今回はsshの問題なのでフィルタリングを使い、sshのみに絞って解析を行います。

 斉藤君の独り言Tips:フィルタリング

 フィルタを行うことで膨大なキャプチャデータから調べたいものだけを絞り込み、迅速に解析できます。キャプチャ自体をフィルタするか、キャプチャした後にフィルタするか、いずれか好きな方法を選びましょう。前者をCapture Filterと呼び、後者をDisplay Filterと呼びます。

 Capture Filterを使う場合は、膨大な量のキャプチャファイルを生成しないように、制限を掛けるフィルタとして使う場合が多いです。Display Filterを使う場合は、解析の強力なサポートとして、期待するデータを素早く正確に見つけたい場合に使います。Capture Filterに比べて、Display Filterの方がより細かいフィルタルールの記載が可能となっています。

 Capture Filterを使う場合、キャプチャ開始時にルールを設定します。[Capture]>[Options]>[Capture]>[Capture Filter]とたどって、[Capture Filter]ボタンを押下すると、フィルタ選択用のウィンドウが立ち上がります。

 今回はシンプルな解析のためDisplay Filterを使うことにしました。Display Filterでは、キャプチャ結果を表示している画面上部にあるFilterボックスにフィルタルールを直接入力できます。[Apply]ボタンを押せば入力が反映され、[Clear]ボタンを押せば消去されます。

 今回はsshが対象なので、Filterボックスに「ssh」と入力しました。フィルタルールの記載が間違っていればFilterボックスは赤くなり、正しければ緑になります。

 サポートされているプロトコルは[Help]の[Supported Protocols]で調べることができます。

 [Expression...]は、フィルタの書き方を調べて反映できる機能です。このボタンを押すとExpression用ウィンドウが開きます。左側のField nameには解析できるプロトコルの一覧が並び、中央のRelationでは、右側のValueとの式の関係が選択できます。

 例えば、「発信元のIPが192.1.1.1」というようなフィルタリングをしたい場合は、以下のように設定します。

Filed name [IP]>[ip.src]
Relations [==]
Value [192.168.1.1]

 複数条件を記載したい場合、「and」で条件式の接続が可能です。フィルタ条件はC言語ライクな記載が可能ですので、何か複雑な式を入力したい場合はC言語の比較演算子の解説を読むと分かりやすいでしょう。

 プログラムが苦手な方は英語に準じた表記でフィルタルールを作るといいかもしれません。例えば、「==」は「eq」となります。

 Display FilterとCapture Filterでは、フィルタルールの書き方が異なります。詳細は公式サイトを参照してください。

【関連リンク】
http://wiki.wireshark.org/CaptureFilters
http://wiki.wireshark.org/DisplayFilters

 なお、特定のプロトコルを対象とした解析以外では、基本的にパケットを取得(キャプチャ)した後にフィルタを掛けて、情報を読み取りやすくしてから解析を行うのがコツです。

2/3

Index
名前のないセキュアシェル
  Page1
sshでのログインが何だか少し引っ掛かる
サーバルームに異常なし
Page2
やっぱりサーバルームに異常あり?
斉藤君の独り言Tips:フィルタリング
  Page3
あれ、DNSの応答がない!?
ミーティングは重要です

Wiresharkでトラブルハック 連載インデックス


Master of IP Network フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Master of IP Network 記事ランキング

本日 月間