Windows系 Ethereal Network Analyzer (0.9.4) 使用方法の一部紹介

中文站点  English site

最終更新日 2006/05/02
webmaster@tomnetwork.net

Tomのネットワーク勉強ノート
Homeに戻る
(Tomのネットワーク勉強ノート) 
サイトマップ
iTAC テクニカルエンジニア
(ネットワーク)塾講義ノート 
過去問題(午後)
  テクニカルエンジニア (ネットワーク) 
  情報セキュリティ アドミニストレータ 
  テクニカルエンジニア
(情報セキュリティ)(午前・午後)
  基本情報技術者(午前・午後)
ネットワーク関連試験対策ノート
情報セキュリティ関連験対策ノート
情報処理用語辞書
自宅で出来るネットワーク簡易実習 
私の勉強法 
情報処理試験勉強に役立った本たち
更新履歴 
リンク集  
プロフィール 
国内旅行の下調べ
---Tomのトラベルオンラインリンク
(新幹線、時刻表、金券ショップ、
格安航空券など)
   
  mail
   
ショッピング

    Powered By 楽天市場

 

スポンサー:
Yahoo!トラベル
ホテルリステル猪苗代
株式会社東栄住宅
競馬サーチ.com
ニフティ株式会社
ホームトレイン
有限会社ルーティ
キーマンズネット
楽天仕事市場 infoseek キャリア
e-learnインターネット通信講座
アークホテルネット
ブルックス
モビット

 他

 

Tomのネットワーク勉強ノート
 Ethereal (Network Analyzer)
   Windows系 Ethereal Network Analyzer (0.9.4) 使用方法の一部紹介
ショッピング Powered by 楽天(商品数:5,283,000点)
 オークション | books・本

ファッション :
グルメ :
ヘルス・ビューティ:
パソコン・家電 :
生活・インテリア :
その他 :

  レディース | メンズ | アクセ | スニーカー | バッグ
  産直品 | 海産物 | ワイン | 日本酒 | 焼酎 | お菓子
  ダイエット | コスメ | 自然派食品 | 香水 | 健康食品
  PC | デジカメ | 家電 | TV | DVDデッキ | オーディオ
  インテリア | 生活雑貨 | キッチン食器 | 引越し
  ペットグッズ | 自転車 | カー用品 | バイク | 楽器

Etherealは海外のFree Wareですので、表記は全て英語です。
始めは使いにくいかもしれませんが、一度使い始めると思った以上に使いやすいです。

このPageではEtherealのフィルタリング方法など、使い方の一部をまとめておきますので、入門書的に利用してください。

(インストール手順については、こちら(Windows系 Ethereal Network Analyzer (0.9.4) インストール手順)を参照ください)
(※ Etherealには汎用ドライバ WinPcapが必要です。 ★WinPcap導入手順 )
                ※ www.winpcap.polito.it/が繋がらない場合、
                 下記URLを経由すると、繋がるようですので、こちらを試して見て下さい。
                   http://netgroup-serv.polito.it/winpcap/

1.Etherealの起動
2.基本的な使い方
3.応用編 (1)CaptureしたいPacketだけにfiltering
  設定例
4.応用編 (2) Capture結果の出力が遅い!って方へ(名前解決を省略して時間削減)


1.Etherealの起動

   (1)右のiconをClickしてください。Ethearealが起動します。

2.基本的な使い方

(1)Etherealを起動すると右のような画面が立ち上がってきます。
上から
 上段) Packetの送信元・あて先 Address,Protocol
                            などの情報
 中段) 上段に対してもうちょっと詳しい情報
  下段) 16進数でのDUMP
が出力されます。
(2)まずは、どんな感じか実感したいでしょうから、
  早速使ってみましょう。
  ToolBarから[Capture]/[Start]を選びます。
(3)何も設定せずに[ok]をClickしてみましょう。
(4)新しいWindowが立ち上がり、Packetを読み込んでいきます。
  適当なところで[stop]を押します。
注)あまり多くのDataをChapterし過ぎると、Loging Dataの読み込みに時間が掛かります。
(5)こんな感じで流れている情報を見ることが出来ます。
注)中身の意味は説明しません。

3.応用編(CaptureしたいPacketだけにFiltering)

PacketのFilteringについて説明します。
LAN内では、Hubで接続された同じNetwork内のPCのPacketもMonitoring出来るため、別に見たくないPacketまで
Captureしてしまいます。

Etherealでは、IP Address,Port番号など、いろんな条件に対して、Filteringする方法があります。

設定例) 自分のPC(192.168.1.11)のPacketだけにFilteringする。

(1)Main画面で[Edit]/[Capture Filters...]を選択します。
(2)ここで、自分のPC(192.168.1.1)のみにFilteringしたいので、
  [Filter string][host 192.168.1.1]
 と入力します。
  [Filter name]は適当に覚えやすい名前を入れてください。
 ここでは、自分のPCですので、[my pc only]としておきます。
(3)この状態で[New]を押す、上側に[my pc only]
 が上がると設定完了です。
 設定を保存が必要なら[Save]をClick。
 
最後に[Close]を押して設定終了しましょう。
(4)CapterするためにToolBarから[Capture]/[Start]を選びます。
(5)ここで、[Filter]から先ほど設定した[my pc only]
 を選択して[ok]をClick
 これで、192.168.1.11を送受信AddressとしたPacket
 のみCaptureします。

その他の設定例

Filtering内容 記述文 設定例
説明
(1)Host IP AddressあるいはHost名 [src|dst] host <host> src host 192.168.1.11
(送信元IP Addressが192.168.1.11のPacketをCaptureします)
  Host IP AddressあるいはHost名でのFilterを行います。
  [src|dst]で方向指定可。指定しなければ、両方向。
 
(2)EthernetのHost Address ether [src|dst] host <ehost> ether dst host www.tomnetwork.net
(あて先が”www.tomnetwork.net"のEthernet AddressであるPacketをCaptureします)
  EthernetのHost AddressでのFilterを行います。
  [src|dst]で方向指定可。指定しなければ、両方向。
 
(3)Gatewayとして使用されているHost gateway host <host> gateway host 192.168.1.1
(IP Address 192.168.1.1であるGatewayのPacketをCaptureします)
  Gatewayとして使用されているHostのPacketをCaptureし ます。
 
(4)Network番号 [src|dst] net <net> [{mask <mask>}|{len <len>}] net 192.168.1.0 [{mask 255.255.255.0}] 
または
net 192.168.1.0 [{len 24]
(Network Address 192.168.1.0/24であるPacketをCaptureします)
  Network番号でCaptureします。netmaskかCIDR プレフィックスを指定することも可。
 
(5)TCP/UDPポート番号 [tcp|udp] [src|dst] port <port> port 80
(Port番号が80番(HTTP)のPacketをCaptureします)
  TCPとUDP Port番号でCaptureします。
   [src|dst]で方向指定可。指定しなければ、両方向。
   [tcp|udp]でTCP/UDPの指定可。指定しなければ、両方。 
 
(6)Packet長さ less|greater <length> greater 64
(Packet長さが64bitより大きいPacketをCaptureします)
  Packetの長さでCaptureします。
 
(7)Ethernet・LayerかIP Layerで指定された  Protocol ip|ether proto <protocol> ether proto 2054
(ethernet Layer のProtocol 番号 2054(10進数)である,
 ARPのPacketをCaptureします)

ip proto 1
(IP Layer のProtocol 番号 1(10進数)である,
 ICMPのPacketをCaptureします)
  Ethernet・LayerかIP Layerで指定されたProtocolでCaptureします。
 
(8)Ethernet,IP BroadCast,MultiCast ether|ip broadcast|multicast ether broadcast
(EthernetのBroadCast PacketをCaptureします)
  Ethernet,IP BroadCast, MultiCastでCaptureします。
 
(9)連結  or, and, not src host 192.168.1.11 and port 80
(送信元IP Addressが192.168.1.11でHTTPの通信PacketをCaptureします)
  and ・・・ 条件 かつ 条件 or ・・・ 条件 又は 条件 not ・・・ 条件以外
 

4.応用編 (2) Capture結果の出力が遅い!って方へ(名前解決を省略して時間削減)

Captureしていて、
・[STOP]を押して、Captureを完了させてけど、なかなか出力結果が出てこない。
・出力結果を作成中に、Etherealが固まってしまった。

って方はいらっしゃらないでしょうか?
原因は”名前解決機能”にあります。

”名前解決機能”は、
Capture結果のAddress( IP AddressやMAC Address)の名前(Computer名
や、Domain名)に変換してくれる機能です。
Defaultの設定では、”名前解決機能”がONになっています。

このため、出力Data作成時に全てのAddressに対して、名前を検索するので、
時間が掛かり、さらには、Memoryが少ないPCではSystemが不安定になってしまうわけです。

名前解決機能のおかげで、PC名やDomain名で送信元、あて先が出力されるので、
非常に見やすくなりますが、逆に応答が悪くなったり、場合によっては望まない
名前解決までしてくれることがあります。

目的によって、設定を変更しましょう。

<設定変更方法>
[Capture]/[Start]で、[Capture Options]画面に入りましょう。
下の方に、[Name resolution]と書かれたSectionがあり、

□Enable MAC name resolution
□Enable network name resolution
□Enable transport name resolution

と書かれていて、Radio Buttonが付いてますね。
そこで、設定変更します。
#Defaultでは全て"ON"になっています。

MAC nameは MAC Addressとその名前
network nameは、IP Addressとその名前やDomain名
(transport nameは Port番号だと思いますが、検証できませんでした。)

"ping www.yahoo.co.jp"を実行した時の
・名前解決機能 ALL ON
・ ALL OFF
の違いはこのようになります。

1.名前解決 ALL ONの時 (出力Data作成時間 5秒)


2.名前解決 ALL OFFの時 (出力Data作成時間 0〜1秒)


参考)
00:07:95:c0:e2:13・・・送信元PCのMAC Address
00:90:cc:1c:bf:9d・・・Default GW(PLANET_1c:bf:9d)のLAN側MAC Address
192.168.1.10・・・送信元PCのIP Address
210.81.153.70・・・www.yahoo.co.jpのIP Address


PR:秋の情報処理試験対策書が続々登場!
『テクニカルエンジニア(ネットワーク)』
『情報セキュリティアドミニストレータ』
 
cbook24.comさんで購入可能。(送料無料!48時間以内)

Tomのネットワーク勉強ノート
 Ethereal (Network Analyzer)
   Windows系 Ethereal Network Analyzer (0.9.4) 使用方法の一部紹介
    資格試験関連書
『ネットワークスペシャリスト』
 
セキュリティ・ウイルス対策関連書

秋に向けて!

送料無料!