パケットをキャプチャする方法

今回はパケットをキャプチャする方法です。パケットキャプチャというとネットワークの専門家の専売特許であってネットワークのプロでないと見ても意味が分からない難しいもの…と敬遠してしまいがちですが、実はパケットを取得して中身を見る事自体はすごく簡単に行えます。最後の手段ではなく、最初の手段とすることをお勧めします。

最後の手段ではなく、最初の一手に

何かトラブルがおきた際には色々な切り分け方法がありますが、とりあえず取得する情報の1つとしてパケットの取得をお勧めします。もちろんネットワークが絡まない場合には取得の必要はないのですが、昨今のシステムでネットワークが絡まないものはほぼ無いので事実上頻繁に取得する事になると思います。

パケットを見て、そこからすべて原因を判明させるのではなく

  • 問題がどこにあるのかの切り分け
  • ネットワーク部分の問題かどうかの切り分け
  • 他にどこを調べるべきかの手がかり

など、次につなげていくことができます。私は個人的にメールシステムのトラブルなどに対応することが多いので、文字化けの問題だろうと、滞留する問題だろうと、何でもとりあえずパケットを取得して状況を確認します。

何を使ってパケットを取得するか

パケットを取得するソフトには色々ありますが、Windows 2000 ServerやWindows Server 2003の時代にはOSにNetwork Monitorが標準で付属していましたのでそれを使ってキャプチャすることが非常に多かったです。Server系だと外部のソフトウェアのインストールは禁止というお客さんが多いのですが、OSのコンポーネントの追加という形であれば許可が出やすいからです。この場合、[プログラムの追加と削除]の[Windowsコンポーネントの追加と削除]から追加する事ができました。

ですが、Windows Server 2008からはNetwork MonitorはOSには付属しなくなりました。なぜかはよく知りません(あまり興味ありません)。それでもやっぱりマイクロソフト製じゃないとServerへのインストールは許可していただけないお客様が多いので通常Network Monitorの最新版をダウンロードして持ち込み、インストールさせてもらう事が多いです。
Download: Microsoft Network Monitor 3.4 – Microsoft Download Center – Download Details


基本的なインストール方法やキャプチャの方法に関してはネット上にたくさん情報がありますので、以下のあたりを参照してもらえれば良いと思います。
Network Monitor 3 を使用したパケットの採取 – Ask the Network & AD Support Team – Site Home – TechNet Blogs


また、以下は個人的なポイントです。

  1. Network Monitorインストール時には基本的にOS再起動は必要ない。
  2. [Temporary capture file] の [Size] 項目は必ず大きくしておく事。パケットを取得しているつもりでサイズの上限に達していて取得できていなかった!というのは痛すぎますので注意!!
  3. サーバーへのインストールが許可されなかった場合にはスイッチのミラーポート設定にて別端末でパケットを取得する。この場合かならずプロミスキャスモード(自分宛のパケット以外も取得するモード)にしておかないと目的のパケットが取得できないので注意。(※昔は10MBpsのリピータハブをパケットキャプチャように常備しておいたものですが、最近ではそういうことはしなくなりましたね。)
  4. ネットワーク上でパケットロストなども疑われる場合には1つのホスト上だけではなくて、通信相手でも同時にパケットをキャプチャし、両方を突き合わせて解析できるようにします。

キャプチャ後の解析

パケットをキャプチャした後は解析を行うのですが、この場合にはNetwork Monitorを使っても良いですが、別のものを使ってもかまいません。もちろんNetwork Monitorのファイル形式(pcap)が読める必要はあります。

私はいつも解析にはWireSharkを使っています。
Wireshark · Go deep.
Network Monitorにしても、WireSharkにしても、相当高度なことまで実施できます。私自身も機能が多すぎて使いこなせていない面もありますが、別エントリで解析方法についても書いて行きたいと思います。

子供3人。家族優先。都内SIer勤務。Windows系中心のインフラよりの何でも屋。脱原発。 Microsoft MVP for Cloud and Datacenter Management.

コメントを残す

メールアドレスが公開されることはありません。