運用
|
|
|
以上の設定が完了すれば、いよいよネットワーク・モニタを利用することができる。デフォルトでは、次のような「キャプチャ ウィンドウ」だけが表示されているはずである。
ネットワーク・モニタの起動画面 | ||||||
これはキャプチャ・ウィンドウがアクティブの状態。メニューやツール・バーの内容は、キャプチャ・モードと解析・表示モードで変わる。 | ||||||
|
ネットワーク・モニタには、大きく分けて、2つのウィンドウがある。1つは、ネットワーク上のパケットをキャプチャするための「キャプチャ ウィンドウ」であり、ネットワーク・モニタの起動時には、このウィンドウだけが表示されている(上の画面参照)。そしてもう1つはキャプチャしたパケットを解析・表示するためのウィンドウである。キャプチャ・ウィンドウは常に1つしか存在しないが、解析・表示ウィンドウは、キャプチャ・セッションごとに新たに1つずつ作成される。
画面の最上部にはツール・バーが用意されている。このうち一番よく使うのは、キャプチャの開始(右向きの▲ボタン)や停止(■ボタン)、キャプチャ・データの表示(めがねマークのボタン)だろう。
キャプチャ・モードにおけるツール・バー | ||||||||||||||||||
ネットワーク・モニタ起動時にはこのようなツール・バーが表示されている。ボタンをクリックするだけでパケットのキャプチャ開始と、停止して解析・表示が簡単に行える。 | ||||||||||||||||||
|
ネットワークをキャプチャしてみる
以上のような準備が整ったら、さっそくパケットをキャプチャしてみよう。ツール・バー上にある「キャプチャの開始(右向きの▲ボタン)」を押してみると、次のように、キャプチャの進行状態が刻々と表示されるはずだ。キャプチャ中にネットワークを操作したり、各種のネットワーク関連コマンドを実行したりして、さまざまなパケットを発生させてみてほしい。ネットワークのトラフィックを示すバーや各種の統計値の数値が変わることが確認できるだろう。
キャプチャの進行状況はウィンドウ内の右上の部分(画面中のの部分)に刻々と表示されている。この部分の「キャプチャ統計」には、現在、何パケット(何フレーム)キャプチャしたかを表す「バッファ内のフレーム数」という項目がある。ネットワークのトラフィックがあるにもかかわらずこの値が増えない場合は、キャプチャするネットワーク・インターフェイスの指定を間違えている可能性があるので、キャプチャを停止し(ツール・バー上の■マークをクリックする)、ネットワーク・インターフェイスの選択をやり直せばよい。
ウィンドウの下部(および左側中段)には、キャプチャしたパケット中の送信元/あて先MACアドレスに基づいた、各マシンのネットワーク・インターフェイスごとの統計値が表示されている。キャプチャ中は、マシンへの負荷を抑えるため、最低限の表示しか行われない。各ステーションごとの統計値もこの画面から分かるように、ホスト名などではなく、イーサネットのMACアドレス情報がそのまま表示されている(ただし後で名前を付けて分かりやすく表示させることは可能。詳細は後述)。なおこのMACアドレスに基づく情報リストは、新しいMACアドレスを持つパケットをキャプチャするたびに増えていく。そのため、パケットを何も受信していない状態ではリストは空になっているので、何らかのパケットがキャプチャできたかどうかは、この部分に何か表示されているかどうかでも判断することができる。リストがずっと空の場合は、やはりネットワーク・インターフェイスの選択を間違えている可能性があるので、設定を再確認する。
キャプチャ・バッファがいっぱいになると、古いパケットは順番に捨てられていき、常に最新のものだけが残るようになっている。バッファがあふれたかどうかは、ウィンドウの右上の「キャプチャ統計」中にある「バッファ制限を超えたときに失ったフレーム数」の値に注目する。この値が0でなければ、バッファがいっぱいなので、キャプチャを停止して解析・表示を行うか、もっとバッファ・サイズを大きくしてキャプチャをやり直す。
MACアドレスの表記について
イーサネット・カードのMACアドレスは、通常は6bytesであり、その上位3bytes(左側の3bytes)はベンダごとの固有コードになっている。そのため、ネットワーク・モニタでは、一部のMACアドレスについてはその上位部分を解釈してベンダ名を入れて表示していることがある。例えば「0010B5EFD40E」ではなく「ACCTONEFD40E」のようになる(ACCTONは台湾のネットワーク・ハードウェア・ベンダ)。ただしこのベンダ・コードの一覧データベースは、ネットワーク・モニタの内部にあらかじめ組み込まれている。そのため、新しいベンダ・コードや未知のベンダ・コードの場合は、単に元の16進数で表示されるだけとなっている。ユーザが新しいベンダ・コードを追加したければ、ネットワーク・モニタの本体(netmon.exe)が置かれているフォルダ中にある、netmon.ini ファイルの [VENDOR_IDS] セクションに追加すればよい(詳細については netmon.ini ファイル中のコメントや、マイクロソフトのサポート技術情報「[SMS] Network Monitor のリストにないカード ベンダーを追加する方法」を参照のこと)。この自動的なベンダ名の表示を無効にするには[オプション]メニューで[製造元名の表示]を無効にする。
Windows XPによるバッチ・キャプチャ
Windows XPを使って、パケットをバッチ的にキャプチャしておき、それをネットワーク・モニタで解釈するということもできる。詳しくは「TIPS―netcapコマンドでネットワーク・パケットをキャプチャする」を参照して欲しいが、netcapコマンドでパケットをキャプチャして、それをネットワーク・モニタの[ファイル]−[開く]コマンドで読み込ませればよい。SMS版のネットワーク・モニタが使えない場合でも、直接リモートのネットワーク・セグメント上のパケットをキャプチャできるようになる。
ほかのネットワーク・モニタのファイルのインポート/エクスポート
キャプチャしたパケット・データをファイルに保存する機能を使えば、ほかのネットワーク・モニタへファイルを渡して解析することができる。またSniffer(米Network Associates社の販売するネットワーク・プロトコル・アナライザ機器。国内での取り扱いは日本ネットワークアソシエイツ株式会社)のような、専用の機器でキャプチャしたファイル(.ENCファイル)なども読み込んで解析することができる。
INDEX | ||
[運用]Windowsネットワーク・プロトコルの理解と検証 | ||
第1回 ネットワーク・モニタの基本的な使い方 | ||
1.ネットワーク・モニタとは | ||
2.ネットワーク・モニタの準備 | ||
3.パケットのキャプチャ | ||
4.キャプチャしたパケットの解析 | ||
運用 |
更新履歴 |
【2003/08/20】MACアドレスのベンダ名の追加方法と、キャプチャ・ファイルのインポートに関する情報を追加しました。 |
- Azure Web Appsの中を「コンソール」や「シェル」でのぞいてみる (2017/7/27)
AzureのWeb Appsはどのような仕組みで動いているのか、オンプレミスのWindows OSと何が違うのか、などをちょっと探訪してみよう - Azure Storage ExplorerでStorageを手軽に操作する (2017/7/24)
エクスプローラのような感覚でAzure Storageにアクセスできる無償ツール「Azure Storage Explorer」。いざというときに使えるよう、事前にセットアップしておこう - Win 10でキーボード配列が誤認識された場合の対処 (2017/7/21)
キーボード配列が異なる言語に誤認識された場合の対処方法を紹介。英語キーボードが日本語配列として認識された場合などは、正しいキー配列に設定し直そう - Azure Web AppsでWordPressをインストールしてみる (2017/7/20)
これまでのIaaSに続き、Azureの大きな特徴といえるPaaSサービス、Azure App Serviceを試してみた! まずはWordPressをインストールしてみる
|
|