運用ネットワーク・プロトコルの理解と検証　第2回　ネットワーク・モニタのフィルタ機能を使う（1/3）

運用

Windowsネットワーク・プロトコルの理解と検証
―　プロトコル・アナライザを使ってネットワーク・トラフィックを解析する　―

第2回　ネットワーク・モニタのフィルタ機能を使う

1．ホスト名の編集

デジタルアドバンテージ
2003/08/19

　前回は、ネットワーク・モニタの基本的な使い方について解説した。今回は、より高度な使い方として、「フィルタ」の使い方についてみていこう。「フィルタ」とは、ある特定の条件を満たすパケットだけを選択する機能であり、不必要なパケットをキャプチャしないようにしたり、関係のないパケットを表示させないようにしたりするための機能である。また、キャプチャしたパケットを保存したり印刷したりする場合にも、フィルタを使って、不要なパケットを保存／印刷させないようにすることもできる。

ホスト名を編集する

　キャプチャしたパケットを解析する場合、デフォルトのままでは、イーサネットのMACアドレスや、IPアドレスを表す数値列がそのまま表示されてしまう。例えば「00:11:22:33:44:55（MACアドレスの場合）」や「12.34.56.78（IPアドレスの場合）」といった具合である。インターネット上のホストの場合なら、IPアドレスが数値で表示されるのは仕方ないかもしれないが（ネットワーク・モニタでは、いちいちDNSの逆引きをしてホスト名を求めたりはしない）、ローカルのLAN上のホストの名前まで、数値でしか表示できないのではとても不便である。どのコンピュータとどのコンピュータが通信しているのかが非常に分かりづらくなってしまうからだ。そこで、まずは、これらを分かりやすい文字列の形式、つまり「ホスト名」の形式で表示させるようにしてみよう。

方法1―キャプチャしたパケットに基づくアドレスの定義

　ネットワーク・モニタでは、各コンピュータのアドレスに対して、文字列でホスト名を付けるためには、大きく分けて3つの方法がある。最初の方法は、キャプチャしたパケットに対して、そこに含まれるアドレス情報に基づいてホスト名を定義する方法である。

　ネットワーク・モニタを起動して、パケットのキャプチャを行うように指示した場合（キャプチャ・ウィンドウで、［キャプチャの開始（右向きの▲）］ボタンをクリックした場合）、画面の左側中段、および最下部のペインに、キャプチャしたパケットに含まれるイーサネットなどのパケット情報が表示されている。このペインにおいて、MACアドレスの部分をマウスで右クリックすると、アドレスを定義するためのポップアップ・メニューが表示される。ここで［アドレスの編集］というメニューを選択すると、このMACアドレスに対して分かりやすいホスト名やコメントを付けることができる。

キャプチャ・ウィンドウにおけるホスト名の定義・編集

キャプチャ中にホスト名を定義・編集するには、表示されているMACアドレス上でマウスを右クリックする。ただしこのモードでは、MACアドレスに対する名前の定義・編集はできるが、IPアドレスの定義・編集はできない。

		キャプチャしたパケット中に含まれる送信元のMACアドレスの一覧。どのコンピュータ間で通信が行われているかが表示されている。
		編集したいMACアドレスを右クリックする。
		この［アドレスの編集］を選択すると、MACアドレスに対して分かりやすいホスト名を付けることができる。
		こちらは、各コンピュータごとの統計値。これらのMACアドレスを右クリックしても、ホスト名を定義・編集することができる。

　パケットのキャプチャを終了して、パケットを解析・表示するボタン（めがねマークのボタン）をクリックすると、パケットの内容を表示するウィンドウ（「フレームビューアウィンドウ」という）が表示される。このウィンドウでは、パケットの概要が1行ずつ表示されるが、この概要の中にもいくつかのアドレス情報が含まれている。例えばイーサネット上のTCP/IPプロトコルの場合は、「送信元のMACアドレス」「送信先のMACアドレス」「送信元のほかのアドレス」「送信先のほかのアドレス」という4つのアドレス・フィールドが存在する。そのいずれの部分でもよいのでマウスで右クリックすると、やはりホスト名を定義するためのポップアップ・メニューが表示される。その中から［アドレスの編集］という項目を選択することにより、それら4つのアドレスに対して、それぞれホスト名を付けたり、編集したりすることができる。このうち「MACアドレス」はイーサネット・パケットなどの低レベルのアドレスであるのに対して、「そのほかのアドレス」はIPアドレスなど、より上位のプロトコルで利用されるアドレスを表している。

　この方法では、キャプチャしたパケットを解析しながら、そのパケットの内容に応じて適宜ホスト名を定義することができるので、いちばん便利であり、かついちばんよく使われる方法であろう。

フレーム・ビューア・ウィンドウにおけるホスト名の定義・編集

フレーム・ビューア・ウィンドウの各行には、2つもしくは4つの「アドレス」情報が表示されている。そのいずれかのアドレスを右クリックすると、アドレスを編集するポップアップ・メニューが表示されるので、これを使ってもホスト名を定義することができる。

		送信元のコンピュータのMACアドレス。
		あて先のコンピュータのMACアドレス。
		送信元のコンピュータの、上位プロトコルの送信元アドレス。
		あて先のコンピュータの、上位プロトコルのあて先アドレス。
		上位プロトコルの種類（この場合はIPプロトコル）。
		編集したいアドレスを右クリックすると、編集メニューがポップアップ表示される。
		［アドレスの編集］を選択すると、この場合はIPアドレスに対して分かりやすいホスト名を付けることができる。

　ポップアップ・メニューから［アドレスの編集］という項目を選択すると、次のようなダイアログが表示される。

ホスト名の編集ダイアログ

パケット中に含まれるアドレス情報に対して、分かりやすいホスト名を付けることができる。

		ここに、定義したいホスト名を入力する。
		これをチェックすると、デフォルトのデータベース中に記録され、次回ネットワーク・モニタを起動した場合にもデフォルトで読み込まれる。
		名前を付ける対象のアドレス。
		名前を付ける対象のアドレス種別。この場合はIPプロトコル（上位のプロトコル）に対してホスト名を付けようとしているので、「IP」となっている。
		ホストに対するコメント（オプションなので省略可能）。

　［名前］の部分に、定義したいホスト名の文字列を入力して［OK］ボタンをクリックすると、以後は、そのMACアドレスやIPアドレスが、すべて指定された文字列に変更され、分かりやすく表示される。

　1度入力されたホスト名を、以後も使用したければ、デフォルト値として保存する必要がある（具体的な方法は次の方法2を参照）。

方法2―ホスト名の手動定義

　ホスト名を定義する2つ目の方法は、ユーザー自身が、各MACアドレスやIPアドレスに対して、手動でホスト名を指定することである。この方法では、MACアドレスやIPアドレスと、それに対応するホスト名の文字列、コメントなどを、1エントリずつユーザーが指定して定義することができる。ただしhostsファイルやethersファイルなどを使って（UNIX系OSでは、/etc/hostsファイルでIPアドレスとホスト名の対応を、/etc/ethersファイルでイーサネットのMACアドレスとIPアドレスの対応をそれぞれ表す。Windows環境では、hostsファイルのみが利用される）、バルクで（一括して）定義する方法は用意されていないので、1つずつ入力しなければならない。

　手動で定義するには、キャプチャ・モードなら［キャプチャ］－［アドレス］を選択し、パケットの表示モードなら［表示］－［アドレス］メニューを選択する。すると次のようなホスト名の一覧・編集ダイアログが表示される。

ホスト名の一覧・編集ダイアログ

ホスト名とアドレスの定義を編集するためのダイアログ。デフォルトでは「*BROADCAST」や「LOCAL（自分自身を表すアドレス）」など、いくつかの既知のアドレスが定義されている。このデータベースにエントリを追加することにより、キャプチャ結果の表示をより分かりやすくさせることができる。

		定義されたホスト名。「BROADCAST」や「LAN マネージャ」など、先頭に「*」が付いているのは特別な意味を持つ、デフォルトで定義されているアドレス。
		定義されたアドレス。ネットワークのプロトコルによって、MACアドレスやIPアドレスなど、さまざまなアドレスが存在する。
		プロトコルの種類。イーサネットやIP、TokenRing、FDDIなど、さまざまなネットワーク・プロトコル（媒体）ごとに、それぞれ固有のアドレス情報を持つ。そのため、同じホスト名でも、プロトコルの種類が異なる複数のエントリを定義することができる。
		コメント。
		新しいエントリを追加するには、これをクリックする。
		既存のエントリの内容を編集するには、これをクリックするか、該当するエントリをダブル・クリックする。
		不要になったエントリを削除するには、これをクリックする。
		ほかのコンピュータから、アドレス情報をインポートする場合などに利用する。
		定義したアドレス情報を保存する場合に利用する。「default.adr」というファイルに保存すると、ネットワーク・モニタ起動時のデフォルト値に設定することができる。

　ネットワーク・モニタは起動時に「default.adr」というアドレス情報ファイルを読み込むので、このファイルに上書き保存しておくと、定義されたホスト名がネットワーク・モニタの起動時から有効になる。

方法3―ホスト名の自動定義

　ホスト名を定義する3番目の方法は、キャプチャしたパケット中に含まれるホスト名情報を自動的に検索して、アドレス情報データベースに追加させるというものである。

　Windowsネットワーク・プロトコルには、コンピュータ自身（もしくは代理のネーム・サーバ）がホスト名をほかのコンピュータに対して報告する（「アナウンス」する）機能がある。ネットワーク・モニタでは、このような特別なホスト名の報告パケットを検索することにより、ホスト名とそのアドレス（MACアドレスやIPアドレス）を自動的に自身のアドレス情報データベースに取り込む機能を持っている。

　この自動取り込み機能を利用するためには、まずネットワーク・パケットをいくらか取り込んでおく必要がある。キャプチャするパケットの総数はなるべく多い方がよいので、バッファ・サイズを大きくして（数M～数十Mbytes程度）、しばらく（数分～数十分程度）パケットをキャプチャする。そしてパケットの解析・表示モードに切り替え、［表示］－［すべての名前を検索］を実行する。すると、キャプチャしたパケット中に含まれるコンピュータ名のアナウンス・パケットをピックアップし、その中に含まれるホスト名とアドレスの情報が自動的にアドレス情報データベースに取り込まれる。以後も利用するためには、このアドレス情報データベースをデフォルト値として保存しておこう。

　なお現在のWindowsネットワークでは、DHCPなどを使った動的なアドレス割り当てが使われていることが多い。そのため1度定義されたアドレス情報（IPアドレス）でも、次回使う場合には、別のコンピュータに割り当てられている可能性がある。そのためキャプチャしたパケットを解析する場合は、最初に1回だけでよいので、アドレスの再検索操作を行って、（可能な限り）最新のアドレス情報に更新しておくのがよいだろう。

INDEX
	［運用］ネットワーク・プロトコルの理解と検証
	第2回　ネットワーク・モニタのフィルタ機能を使う
	1．ホスト名の編集
	2．キャプチャ・フィルタの使い方
	3．表示フィルタの使い方

　運用

Windows Server Insider フォーラム新着記事

Azure Web Appsの中を「コンソール」や「シェル」でのぞいてみる （2017/7/27）
　AzureのWeb Appsはどのような仕組みで動いているのか、オンプレミスのWindows OSと何が違うのか、などをちょっと探訪してみよう
Azure Storage ExplorerでStorageを手軽に操作する （2017/7/24）
　エクスプローラのような感覚でAzure Storageにアクセスできる無償ツール「Azure Storage Explorer」。いざというときに使えるよう、事前にセットアップしておこう
Win 10でキーボード配列が誤認識された場合の対処 （2017/7/21）
　キーボード配列が異なる言語に誤認識された場合の対処方法を紹介。英語キーボードが日本語配列として認識された場合などは、正しいキー配列に設定し直そう
Azure Web AppsでWordPressをインストールしてみる （2017/7/20）
　これまでのIaaSに続き、Azureの大きな特徴といえるPaaSサービス、Azure App Serviceを試してみた！まずはWordPressをインストールしてみる