運用
|
|
|
表示フィルタは、キャプチャしたパケットの中から、ある特定の条件を持つパケットだけを選択して表示させるためのものである。キャプチャした大量のパケットの中から、トラブルの元となっている部分のパケットだけを抜き出したり、インターネットからのワームの攻撃のパケット(と思われるもの)だけを取り出して、解析するためなどに利用できる。キャプチャ時のフィルタと違って、ある程度複雑な条件を付けることもできるし、フィルタの適用/未適用も簡単に切り替えて前後のパケットなども確認することができるので、こちらの方が有用性は高いといえる。キャプチャ時にフィルタを適用すると、現象の起こった前後のパケットの内容を見ることができないからだ。メモリに余裕があるなら、キャプチャ時ではなく、表示・解析時にフィルタを活用するのがよいだろう(メモリが十分でないのなら、パケット全体ではなく、先頭の128byteとか192byteなど、一部だけをキャプチャするようにすればよいだろう。たいていの場合は、これでも十分実用的に利用できると思われる)。
表示フィルタを設定するには、パケットの詳細表示画面(フレーム・ビューア・ウィンドウ)において、最上部のツール・バーにある[ディスプレイ フィルタの編集(じょうごのマーク)]というボタンをクリックする。すると先ほどのキャプチャ・フィルタと同様のダイアログが表示される。
アドレス条件の指定
それでは具体的に、フィルタを設定してみよう。上のダイアログにおいて、「ANY <--> ANY」という行をダブル・クリックしてみる。「ANY」とは、「任意のコンピュータ」という意味であり、この行は「任意の2台のコンピュータ間での通信」を表している。この条件を変更して、例えばブロードキャスト通信のみを選択するには、次のような条件を設定する。
ブロードキャストだけを表示するフィルタ設定 | |||||||||||||||
ブロードキャスト通信だけを選択して表示するには、アドレスの片方が「*BROADCAST」となっていればよい。 | |||||||||||||||
|
以上のフィルタを設定して、[OK]ボタンをクリックすると、ブロードキャストに向けて送信されたパケットだけが表示されるはずだ。
なお、フィルタ処理においてアドレスを指定するためには、あらかじめホスト名を定義しておく必要がある(アドレスは、アドレス情報データベースの一覧から選ぶ必要がある)。最初に述べた手順で、ホスト名を手動もしくは自動で定義しておいていただきたい。
プロトコル条件の指定
次は、特定の条件を満たすパケットだけを表示させてみよう。
表示フィルタでは、キャプチャ・フィルタと違って、TCPやUDPといったプロトコルにおいて、特定のフィールド中の値を元にしたフィルタを設定することができる。例えばTCPプロトコルにおいて、あて先ポート番号が135番となっているパケットだけを選択的に表示することができる(このポートは、MS-RPCによって使われているサービス用のポートであるが、Blasterというワームが狙うポートでもある)。先のフィルタ設定画面では、デフォルトでは「Protocol == Any」となっているが、この行をダブル・クリックすると、次のような画面が表示される。
TCPの135番ポートへのアクセスだけを表示するフィルタの設定 | ||||||||||||||||||||||||||||||
先の表示フィルタのダイアログにおいて、「Protocol == Any」の行をダブル・クリックすると、このようなフィルタ編集画面が表示される。ここで、TCPプロトコルを選び、さらにあて先ポート番号として135番(10進数)を指定する。 | ||||||||||||||||||||||||||||||
|
以上のフィルタを設定すると、例えば次のような表示が得られる。あて先ポート番号が135番となっているパケットのみが表示されていることが分かるだろう。[ディスプレイ フィルタの切り替え]ボタン(フィルタ設定の右側のボタン)をクリックすると、フィルタが適用されたり、解除されたりするので、そのパケットの前後も簡単に調査したり、解析したりすることができる。
フィルタによって選択されたパケットの一覧 | ||||||||||||
TCPであて先ポート番号が135番のパケットのみを表示しているところ。最近インターネットで大流行しているBlasterワームは、このようにTCPの135番ポート(MS-RPCポート)を狙って活動している。 | ||||||||||||
|
以上のように設定された表示用フィルタは、表示のためだけでなく、パケットを保存する場合や印刷する場合にも利用することができる。これにより不要な部分を除外して、必要な部分だけを残して保存しておくことができる。
フィルタを使って選択的に保存する | ||||||
表示用のフィルタは、パケットを保存する場合や、印刷のためにも利用することができる。 | ||||||
|
INDEX | ||
[運用]ネットワーク・プロトコルの理解と検証 | ||
第2回 ネットワーク・モニタのフィルタ機能を使う | ||
1.ホスト名の編集 | ||
2.キャプチャ・フィルタの使い方 | ||
3.表示フィルタの使い方 | ||
運用 |
- Azure Web Appsの中を「コンソール」や「シェル」でのぞいてみる (2017/7/27)
AzureのWeb Appsはどのような仕組みで動いているのか、オンプレミスのWindows OSと何が違うのか、などをちょっと探訪してみよう - Azure Storage ExplorerでStorageを手軽に操作する (2017/7/24)
エクスプローラのような感覚でAzure Storageにアクセスできる無償ツール「Azure Storage Explorer」。いざというときに使えるよう、事前にセットアップしておこう - Win 10でキーボード配列が誤認識された場合の対処 (2017/7/21)
キーボード配列が異なる言語に誤認識された場合の対処方法を紹介。英語キーボードが日本語配列として認識された場合などは、正しいキー配列に設定し直そう - Azure Web AppsでWordPressをインストールしてみる (2017/7/20)
これまでのIaaSに続き、Azureの大きな特徴といえるPaaSサービス、Azure App Serviceを試してみた! まずはWordPressをインストールしてみる
|
|