運用
Windowsネットワーク・プロトコルの理解と検証(第2回)

3.表示フィルタの使い方

デジタルアドバンテージ
2003/08/19

 表示フィルタは、キャプチャしたパケットの中から、ある特定の条件を持つパケットだけを選択して表示させるためのものである。キャプチャした大量のパケットの中から、トラブルの元となっている部分のパケットだけを抜き出したり、インターネットからのワームの攻撃のパケット(と思われるもの)だけを取り出して、解析するためなどに利用できる。キャプチャ時のフィルタと違って、ある程度複雑な条件を付けることもできるし、フィルタの適用/未適用も簡単に切り替えて前後のパケットなども確認することができるので、こちらの方が有用性は高いといえる。キャプチャ時にフィルタを適用すると、現象の起こった前後のパケットの内容を見ることができないからだ。メモリに余裕があるなら、キャプチャ時ではなく、表示・解析時にフィルタを活用するのがよいだろう(メモリが十分でないのなら、パケット全体ではなく、先頭の128byteとか192byteなど、一部だけをキャプチャするようにすればよいだろう。たいていの場合は、これでも十分実用的に利用できると思われる)。

 表示フィルタを設定するには、パケットの詳細表示画面(フレーム・ビューア・ウィンドウ)において、最上部のツール・バーにある[ディスプレイ フィルタの編集(じょうごのマーク)]というボタンをクリックする。すると先ほどのキャプチャ・フィルタと同様のダイアログが表示される。

ディスプレイ・フィルタの設定
大量のキャプチャ・パケットの中から、必要なパケットだけを簡単に選んで表示させるために利用するフィルタ。表示するパケットを選択するだけであり、キャプチャしたデータはそのまま残っている。キャプチャ・フィルタよりも、細かい条件をいろいろと指定することができる。
  デフォルトでは、この部分は[AND]条件になっており、以下の条件をすべて満たすパケット(つまりすべてのパケット)が選択される。
  プロトコルの指定。デフォルトではすべてのパケットが表示対象となっているが、より細かく指定するには、この行をダブル・クリックするか、右の[式]をクリックする。
  アドレスの指定。デフォルトでは任意のノード間での通信パケットが表示対象となっているが、特定のコンピュータからの送信や、特定のアドレスへ向けた通信だけを表示させたい場合は、この行をダブル・クリックする。
  現在のツリーの下に新しい条件を追加する場合は、これをクリックする。
  新しくAND条件(すべての条件を満たす場合に真となる)を追加する場合は、これをクリックする。
  新しくOR条件(どれか1つが条件を満たす場合に真となる)を追加する場合は、これをクリックする。
  既存の[AND]や[OR]条件を切り替える場合にはこれをクリックする。
  演算子の種類([AND]や[OR]、[NOT])を切り替えたり、条件の内容を再編集する場合はこれをクリックする。
  条件を削除する場合に利用する。

アドレス条件の指定

 それでは具体的に、フィルタを設定してみよう。上のダイアログにおいて、「ANY <--> ANY」という行をダブル・クリックしてみる。「ANY」とは、「任意のコンピュータ」という意味であり、この行は「任意の2台のコンピュータ間での通信」を表している。この条件を変更して、例えばブロードキャスト通信のみを選択するには、次のような条件を設定する。

ブロードキャストだけを表示するフィルタ設定
ブロードキャスト通信だけを選択して表示するには、アドレスの片方が「*BROADCAST」となっていればよい。
  これが設定したい条件。下側で条件を選択すると、その条件がここに表示される。
  左側(ステーション1)は元の「*ANY」にしておく。これはすべてのアドレスにマッチする特別なアドレスの指定。
  「方向」とは、通信の向きを表す記号。ここでは、片方がブロードキャスト・アドレスであればよいので、デフォルトの「<-->(双方向)」のままでよい。
  あて先アドレスは、デフォルトの「*ANY」から「*BROADCAST」に変更する。
  これを押すと、条件が設定される。

 以上のフィルタを設定して、[OK]ボタンをクリックすると、ブロードキャストに向けて送信されたパケットだけが表示されるはずだ。

 なお、フィルタ処理においてアドレスを指定するためには、あらかじめホスト名を定義しておく必要がある(アドレスは、アドレス情報データベースの一覧から選ぶ必要がある)。最初に述べた手順で、ホスト名を手動もしくは自動で定義しておいていただきたい。

プロトコル条件の指定

 次は、特定の条件を満たすパケットだけを表示させてみよう。

 表示フィルタでは、キャプチャ・フィルタと違って、TCPやUDPといったプロトコルにおいて、特定のフィールド中の値を元にしたフィルタを設定することができる。例えばTCPプロトコルにおいて、あて先ポート番号が135番となっているパケットだけを選択的に表示することができる(このポートは、MS-RPCによって使われているサービス用のポートであるが、Blasterというワームが狙うポートでもある)。先のフィルタ設定画面では、デフォルトでは「Protocol == Any」となっているが、この行をダブル・クリックすると、次のような画面が表示される。

TCPの135番ポートへのアクセスだけを表示するフィルタの設定
先の表示フィルタのダイアログにおいて、「Protocol == Any」の行をダブル・クリックすると、このようなフィルタ編集画面が表示される。ここで、TCPプロトコルを選び、さらにあて先ポート番号として135番(10進数)を指定する。
  これが最終的に設定したい条件。下側で条件を選択すると、その条件がここに表示される。
  アドレスを条件にする場合はこのタブを選択する。
  プロトコルごとにフィルタを設定したい場合はこのタブを選択する。ネットワーク・モニタで解析可能なプロトコルの一覧が表示されるので、必要なもののみを「有効」にセットし、表示したくないプロトコルを「無効」にする。
  各プロトコルごとに固有な、ヘッダ中の各フィールドの値などを条件にする場合は、このタブをクリックする。
  ここではTCPプロトコルを選択する。するとその下に、TCPヘッダに含まれるフィールドの名称が表示される。
  ここでは、あて先ポート番号フィールドを表す「Destination Port」を選択する。すると、右側に条件や値を設定するためのフィールドが表示される。
  ここでは、「==(指定された値と等しいかどうかを調べる)」を選択する。「<>」や「<=」などは、数値の等、不等、大小などの関係を調べるために使用する。「contains」はその値を含むかどうか、「exists」は左側のフィールドが存在するかどうか、(フラグ・フィールドで使用する)「includes」はそのフラグのbitがセットされているかどうか、などを調べる。
  ここではあて先ポート番号を数値で指定する。
  135を10進数で入力するため、こちらを選択する。16進数と間違えないように注意。
  これをクリックすると条件が設定される。

 以上のフィルタを設定すると、例えば次のような表示が得られる。あて先ポート番号が135番となっているパケットのみが表示されていることが分かるだろう。[ディスプレイ フィルタの切り替え]ボタン(フィルタ設定の右側のボタン)をクリックすると、フィルタが適用されたり、解除されたりするので、そのパケットの前後も簡単に調査したり、解析したりすることができる。

フィルタによって選択されたパケットの一覧
TCPであて先ポート番号が135番のパケットのみを表示しているところ。最近インターネットで大流行しているBlasterワームは、このようにTCPの135番ポート(MS-RPCポート)を狙って活動している。
  フィルタを定義するにはこれをクリックする。
  このボタンをクリックすると、フィルタの適用と未適用が交互に繰り返されるので、注目したいパケットの前後も簡単に確認することができる。
  あて先ポート番号が135番のTCPパケットのみが表示されている。
  Blasterワームの攻撃元IPアドレス。Blasterワームは自分の近くのIPアドレスを集中的に攻撃するので、攻撃元のIPアドレスはそれぞれ似通っている。

 以上のように設定された表示用フィルタは、表示のためだけでなく、パケットを保存する場合や印刷する場合にも利用することができる。これにより不要な部分を除外して、必要な部分だけを残して保存しておくことができる。End of Article

フィルタを使って選択的に保存する
表示用のフィルタは、パケットを保存する場合や、印刷のためにも利用することができる。
  デフォルトでは全パケットを保存するようになっている。
  このチェック・ボックスをオンにしておくと、表示用フィルタが適用されている部分のみが保存されるので、ディスク領域を節約することができる。
 
 

 INDEX
  [運用]ネットワーク・プロトコルの理解と検証
  第2回 ネットワーク・モニタのフィルタ機能を使う
    1.ホスト名の編集
    2.キャプチャ・フィルタの使い方
  3.表示フィルタの使い方
 
 運用


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間