第2回 名前のないセキュアシェル
草場 英仁
三井物産セキュアディレクション株式会社
ビジネスデベロップメント部 主席研究員
2008/4/10
やっぱりサーバルームに異常あり?
冷え冷えとしたサーバ室に戻ってきました。身も心もお寒い状況です。取りあえずOAチェアに腰を下ろして状況を整理してみます。クライアント側には特に問題はないようだけど、sshにはひどい遅延が起きている。でもサーバのsshの設定を見直しても特に問題はなし。うーん、もっと情報を!
そういえば、とまだ試していなかったことを思い付きました。サーバ側でWiresharkを用いた調査をしていませんでした。ここは最後の神頼み。これで駄目なら守屋部長代理に相談してみよう。普段は寡黙で何を考えているのかよく分からない人なのに、開発部から営業部まで、結構な責任者がよく相談に訪れるのです。いままではなんとか自力でこなせていたけど、今回はギブアップかも。
サーバ室のスイッチはポートミラーリング機能が付いている、フロアスイッチよりもちょっと高級なスイッチです。ポートミラーリング機能とは、あるポートに来たパケットを別の指定したポートに転送してくれる機能です。早速ssh先のサーバを接続しているポートを、自分のPCが接続されているポートへ転送するための設定を施します。
使い慣れたWiresharkを起動します。太田の席のそばの同期に連絡して、太田のPCからsshで接続してもらいます。やはり、プロンプトが出てくるのが遅いようです。早速キャプチャしたファイルを開き、解析を開始しましょう。今回はsshの問題なのでフィルタリングを使い、sshのみに絞って解析を行います。
斉藤君の独り言Tips:フィルタリング
フィルタを行うことで膨大なキャプチャデータから調べたいものだけを絞り込み、迅速に解析できます。キャプチャ自体をフィルタするか、キャプチャした後にフィルタするか、いずれか好きな方法を選びましょう。前者をCapture Filterと呼び、後者をDisplay Filterと呼びます。
Capture Filterを使う場合は、膨大な量のキャプチャファイルを生成しないように、制限を掛けるフィルタとして使う場合が多いです。Display Filterを使う場合は、解析の強力なサポートとして、期待するデータを素早く正確に見つけたい場合に使います。Capture Filterに比べて、Display Filterの方がより細かいフィルタルールの記載が可能となっています。
Capture Filterを使う場合、キャプチャ開始時にルールを設定します。[Capture]>[Options]>[Capture]>[Capture Filter]とたどって、[Capture Filter]ボタンを押下すると、フィルタ選択用のウィンドウが立ち上がります。
今回はシンプルな解析のためDisplay Filterを使うことにしました。Display Filterでは、キャプチャ結果を表示している画面上部にあるFilterボックスにフィルタルールを直接入力できます。[Apply]ボタンを押せば入力が反映され、[Clear]ボタンを押せば消去されます。
今回はsshが対象なので、Filterボックスに「ssh」と入力しました。フィルタルールの記載が間違っていればFilterボックスは赤くなり、正しければ緑になります。
サポートされているプロトコルは[Help]の[Supported Protocols]で調べることができます。
[Expression...]は、フィルタの書き方を調べて反映できる機能です。このボタンを押すとExpression用ウィンドウが開きます。左側のField nameには解析できるプロトコルの一覧が並び、中央のRelationでは、右側のValueとの式の関係が選択できます。
例えば、「発信元のIPが192.1.1.1」というようなフィルタリングをしたい場合は、以下のように設定します。
| Filed name | [IP]>[ip.src] |
| Relations | [==] |
| Value | [192.168.1.1] |
複数条件を記載したい場合、「and」で条件式の接続が可能です。フィルタ条件はC言語ライクな記載が可能ですので、何か複雑な式を入力したい場合はC言語の比較演算子の解説を読むと分かりやすいでしょう。
プログラムが苦手な方は英語に準じた表記でフィルタルールを作るといいかもしれません。例えば、「==」は「eq」となります。
Display FilterとCapture Filterでは、フィルタルールの書き方が異なります。詳細は公式サイトを参照してください。
| 【関連リンク】 http://wiki.wireshark.org/CaptureFilters http://wiki.wireshark.org/DisplayFilters |
なお、特定のプロトコルを対象とした解析以外では、基本的にパケットを取得(キャプチャ)した後にフィルタを掛けて、情報を読み取りやすくしてから解析を行うのがコツです。
 |
2/3 |
 |
| Index | |
| 名前のないセキュアシェル | |
| Page1 sshでのログインが何だか少し引っ掛かる サーバルームに異常なし |
|
 |
Page2 やっぱりサーバルームに異常あり? 斉藤君の独り言Tips:フィルタリング |
| Page3 あれ、DNSの応答がない!? ミーティングは重要です |
|
 |
Wiresharkでトラブルハック 連載インデックス |
- 完全HTTPS化のメリットと極意を大規模Webサービス――ピクシブ、クックパッド、ヤフーの事例から探る (2017/7/13)
2017年6月21日、ピクシブのオフィスで、同社主催の「大規模HTTPS導入Night」が開催された。大規模Webサービスで完全HTTPS化を行うに当たっての技術的、および非技術的な悩みや成果をテーマに、ヤフー、クックパッド、ピクシブの3社が、それぞれの事例について語り合った - ソラコムは、あなたの気が付かないうちに、少しずつ「次」へ進んでいる (2017/7/6)
ソラコムは、「トランスポート技術への非依存」度を高めている。当初はIoT用格安SIMというイメージもあったが、徐々に脱皮しようとしている。パブリッククラウドと同様、付加サービスでユーザーをつかんでいるからだ - Cisco SystemsのIntent-based Networkingは、どうネットワークエンジニアの仕事を変えるか (2017/7/4)
Cisco Systemsは2017年6月、同社イベントCisco Live 2017で、「THE NETWORK. INTUITIVE.」あるいは「Intent-based Networking」といった言葉を使い、ネットワークの構築・運用、そしてネットワークエンジニアの仕事を変えていくと説明した。これはどういうことなのだろうか - ifconfig 〜(IP)ネットワーク環境の確認/設定を行う (2017/7/3)
ifconfigは、LinuxやmacOSなど、主にUNIX系OSで用いるネットワーク環境の状態確認、設定のためのコマンドだ。IPアドレスやサブネットマスク、ブロードキャストアドレスなどの基本的な設定ができる他、イーサネットフレームの最大転送サイズ(MTU)の変更や、VLAN疑似デバイスの作成も可能だ。
 |
|
|
|
|
注目のテーマ
Master of IP Network 記事ランキング
転職/派遣情報を探す
