パケットキャプチャを取る
エンジニアがパケットを取って調べる際に何を使いますか? ターミナルでログイン可能な環境でtcpdumpがインストールされていれば、tcpdumpでパケットを取ってWiresharkで見ます。ターミナルで動くtsharkとかsngrepというツールもあります。
tcpdumpが使えない場合
IP電話機や複合機などはログインしてtcpdump出来ないです。その場合のパケットの見方。
リピーターHUB
リピーターHUBを使います。スイッチングHUBが登場する以前はみんなリピーターHUBだったのでしょうか。スイッチングHUBはLANケーブルが接続されているポートとカスケード接続されたポート間でしか通信しませんが、リピーターHUBは全てのポートに通信が来るのでパケットキャプチャを取るには丁度良いです。
マネージドL2スイッチ
管理機能を持ったL2スイッチの中にはポートミラーリング機能を備えている機種があります。希望する特定のポートの通信全てを別の特定のポートにそっくりミラーリングします。そのポートにPCやMacを接続してWIresharkでパケットを見ます。
ルーターでポートミラーリングする (YAMAHA RTXの例)
YAMAHA RTXはポートミラーリング機能があります。IP電話機の挙動をパケットから調べたかったのでRTXでポートミラーリングしました。IP電話機2台をRTXに接続して2ポート丸ごとミラーリングも出来ます。
上記例はミラーリング先がLAN1のPort4でミラーソースポートがLAN1のPort1,2です。
送信だけミラーする、受信だけミラーするなんて事も出来ます。上記例はin/out双方を指定しています。
解除は上記コマンドで
Debookeeを使う
リピーターHUBが無い、マネージドL2スイッチも無い、ルーターでミラーリングも出来なかったらどうやってパケットを取りますか? Debookeeがあります。(Mac版のみです)
DebookeeはWiresharkの様なネットワークアナライザーです。
Debookeeのユニークなところはハッキングの手法を使って同一LAN内の端末のパケットを見れる事です。通常ネットワークに接続している端末はルーターとやりとりしますが、ARPスプーフィングを使ってMacをルーターに見せかけます。パケットを見たい端末はルーターと通信している様で実はMacを経由してルーターと通信している状態になります。この際にMacを通過するパケットを見る事が出来ます。
ARPスプーフィング対策がされている企業用スイッチやセキュリティソフトが導入されている環境では動作しないと思います。
デモ版は機能が限定されますが、Wiresharkを併用する事でパケットが見れます。
パケットキャプチャを極めたい人は↓
