運用
Windowsネットワーク・プロトコルの理解と検証(第1回)

3.パケットのキャプチャ

デジタルアドバンテージ
2003/08/07

 以上の設定が完了すれば、いよいよネットワーク・モニタを利用することができる。デフォルトでは、次のような「キャプチャ ウィンドウ」だけが表示されているはずである。

ネットワーク・モニタの起動画面
これはキャプチャ・ウィンドウがアクティブの状態。メニューやツール・バーの内容は、キャプチャ・モードと解析・表示モードで変わる。
  現在のキャプチャ対象のネットワーク。
  キャプチャの開始や停止、解析などを指示するためのツール・バー。

 ネットワーク・モニタには、大きく分けて、2つのウィンドウがある。1つは、ネットワーク上のパケットをキャプチャするための「キャプチャ ウィンドウ」であり、ネットワーク・モニタの起動時には、このウィンドウだけが表示されている(上の画面参照)。そしてもう1つはキャプチャしたパケットを解析・表示するためのウィンドウである。キャプチャ・ウィンドウは常に1つしか存在しないが、解析・表示ウィンドウは、キャプチャ・セッションごとに新たに1つずつ作成される。

 画面の最上部にはツール・バーが用意されている。このうち一番よく使うのは、キャプチャの開始(右向きの▲ボタン)や停止(■ボタン)、キャプチャ・データの表示(めがねマークのボタン)だろう。

キャプチャ・モードにおけるツール・バー
ネットワーク・モニタ起動時にはこのようなツール・バーが表示されている。ボタンをクリックするだけでパケットのキャプチャ開始と、停止して解析・表示が簡単に行える。
  キャプチャ・データ・ファイルのロードと保存。
  表示するペインの選択。画面が狭い場合は、必要最小限のペインだけを表示させて、画面を有効に利用することができる。虫めがねのボタンをクリックすると、選択されたペインだけが拡大表示される。
  フィルタの設定。条件に合致したパケットだけをキャプチャさせることができる。デフォルトではすべてのパケットがキャプチャの対象となる。
  キャプチャの開始と一時停止/再開。通常はこの[キャプチャの開始]ボタンをクリックしてキャプチャを開始し、希望するパケットをキャプチャできれば、次のをクリックして、停止および表示を行う。
  キャプチャの停止とデータの表示。キャプチャしたデータを解析・表示するためには、ネットワーク・モニタではキャプチャをいったん停止、終了させなければならない。キャプチャしながら解析することはできない。
  データの表示とヘルプ。現在キャプチャ・バッファにあるデータを表示させる場合に使用。

ネットワークをキャプチャしてみる

 以上のような準備が整ったら、さっそくパケットをキャプチャしてみよう。ツール・バー上にある「キャプチャの開始(右向きの▲ボタン)」を押してみると、次のように、キャプチャの進行状態が刻々と表示されるはずだ。キャプチャ中にネットワークを操作したり、各種のネットワーク関連コマンドを実行したりして、さまざまなパケットを発生させてみてほしい。ネットワークのトラフィックを示すバーや各種の統計値の数値が変わることが確認できるだろう。

キャプチャ中の状態
パケットのキャプチャ中には、現在のネットワーク・トラフィックやバッファの状態がリアルタイムに表示される。
  ネットワークのトラフィック。
  2つのマシン間でやりとりされたパケットの総数。SMS版でない場合は、ほかのマシンからのブロードキャスト送信しかキャプチャできないので、右側はすべて「*BROADCAST」と表示されている。
  キャプチャしたパケット数などの統計値。
  各ネットワーク・インターフェイスごとの送受信パケット数などの統計値。

 キャプチャの進行状況はウィンドウ内の右上の部分(画面中のの部分)に刻々と表示されている。この部分の「キャプチャ統計」には、現在、何パケット(何フレーム)キャプチャしたかを表す「バッファ内のフレーム数」という項目がある。ネットワークのトラフィックがあるにもかかわらずこの値が増えない場合は、キャプチャするネットワーク・インターフェイスの指定を間違えている可能性があるので、キャプチャを停止し(ツール・バー上の■マークをクリックする)、ネットワーク・インターフェイスの選択をやり直せばよい。

 ウィンドウの下部(および左側中段)には、キャプチャしたパケット中の送信元/あて先MACアドレスに基づいた、各マシンのネットワーク・インターフェイスごとの統計値が表示されている。キャプチャ中は、マシンへの負荷を抑えるため、最低限の表示しか行われない。各ステーションごとの統計値もこの画面から分かるように、ホスト名などではなく、イーサネットのMACアドレス情報がそのまま表示されている(ただし後で名前を付けて分かりやすく表示させることは可能。詳細は後述)。なおこのMACアドレスに基づく情報リストは、新しいMACアドレスを持つパケットをキャプチャするたびに増えていく。そのため、パケットを何も受信していない状態ではリストは空になっているので、何らかのパケットがキャプチャできたかどうかは、この部分に何か表示されているかどうかでも判断することができる。リストがずっと空の場合は、やはりネットワーク・インターフェイスの選択を間違えている可能性があるので、設定を再確認する。

 キャプチャ・バッファがいっぱいになると、古いパケットは順番に捨てられていき、常に最新のものだけが残るようになっている。バッファがあふれたかどうかは、ウィンドウの右上の「キャプチャ統計」中にある「バッファ制限を超えたときに失ったフレーム数」の値に注目する。この値が0でなければ、バッファがいっぱいなので、キャプチャを停止して解析・表示を行うか、もっとバッファ・サイズを大きくしてキャプチャをやり直す。

MACアドレスの表記について

 イーサネット・カードのMACアドレスは、通常は6bytesであり、その上位3bytes(左側の3bytes)はベンダごとの固有コードになっている。そのため、ネットワーク・モニタでは、一部のMACアドレスについてはその上位部分を解釈してベンダ名を入れて表示していることがある。例えば「0010B5EFD40E」ではなく「ACCTONEFD40E」のようになる(ACCTONは台湾のネットワーク・ハードウェア・ベンダ)。ただしこのベンダ・コードの一覧データベースは、ネットワーク・モニタの内部にあらかじめ組み込まれている。そのため、新しいベンダ・コードや未知のベンダ・コードの場合は、単に元の16進数で表示されるだけとなっている。ユーザが新しいベンダ・コードを追加したければ、ネットワーク・モニタの本体(netmon.exe)が置かれているフォルダ中にある、netmon.ini ファイルの [VENDOR_IDS] セクションに追加すればよい(詳細については netmon.ini ファイル中のコメントや、マイクロソフトのサポート技術情報「[SMS] Network Monitor のリストにないカード ベンダーを追加する方法」を参照のこと)。この自動的なベンダ名の表示を無効にするには[オプション]メニューで[製造元名の表示]を無効にする。

Windows XPによるバッチ・キャプチャ

 Windows XPを使って、パケットをバッチ的にキャプチャしておき、それをネットワーク・モニタで解釈するということもできる。詳しくは「TIPS―netcapコマンドでネットワーク・パケットをキャプチャする」を参照して欲しいが、netcapコマンドでパケットをキャプチャして、それをネットワーク・モニタの[ファイル]−[開く]コマンドで読み込ませればよい。SMS版のネットワーク・モニタが使えない場合でも、直接リモートのネットワーク・セグメント上のパケットをキャプチャできるようになる。

ほかのネットワーク・モニタのファイルのインポート/エクスポート

 キャプチャしたパケット・データをファイルに保存する機能を使えば、ほかのネットワーク・モニタへファイルを渡して解析することができる。またSniffer(米Network Associates社の販売するネットワーク・プロトコル・アナライザ機器。国内での取り扱いは日本ネットワークアソシエイツ株式会社)のような、専用の機器でキャプチャしたファイル(.ENCファイル)なども読み込んで解析することができる。


 INDEX
  [運用]Windowsネットワーク・プロトコルの理解と検証
  第1回 ネットワーク・モニタの基本的な使い方
    1.ネットワーク・モニタとは
    2.ネットワーク・モニタの準備
  3.パケットのキャプチャ
    4.キャプチャしたパケットの解析
 
 運用
 
更新履歴
 【2003/08/20】MACアドレスのベンダ名の追加方法と、キャプチャ・ファイルのインポートに関する情報を追加しました。


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間