せでぃのブログ

ブログ初心者おいどんのどうでもいい愚痴やどうでもいい愚痴やどうでもいいマメ知識などを披露するチラシの裏です。

ネットワーク解析ツール2(超長文)

旧ダイアリ・ねっとわーきん

 以前、某所で下の引用のような偉そうな発言をした。某所では答えを出す機会がなかったので、ここで出しとこうと思う。パケットの解析とかに興味が無い人は流しちゃってください。


 まず、フレームやパケットの種類(HTTPとかSNMP,SMB,BPDUなど)を見るのは大前提。それでわからなければ、下の3つを中心に見てこうってお話。それでもわからなければ、「わからないこともあるさ!」ってことでw わからないときの最後の砦が、このネットワーク解析ツールなのですが、如何せん、この砦は難攻不落ではない。攻めやすく守り難いw

①エラーパケットが出ているか
 →Etherealが判断したエラー(実は正常)というのは見たことあるものの、実は、せでぃは解析ツールでこの手のエラーとやらを拾ったことがないので、何ともコメントし辛い。最近のスイッチは優秀なので、ワザワザ解析ツールで見る必要があるかどうか疑問。疑問だけど基本だから、いちお押さえとこう程度。
②RequestとReplyの時間差
 →ネットワーク構成に変更があった場合、ここら辺を確認すると吉。せでぃの場合、RADIUSとかDHCPとかで見る、たま〜にw 応答時間は最低でも1秒以下。
③宛先と送信元
 →大量の通信による通信遅延の場合、悪者の通信がどことどこの間でやりとりされてるかが重要っぽい。送信元がわかったら大上段で抗議の電話をw
④Replyの内容
 →3つとか言っといて、4つ目出たw 出ちゃったww Replyに意味付けされてるプロトコルがある。ICMPとか。プロトコルの勉強もっとしとけば良かったと思う最たるパターン。

 総じてプロトコルの開発でもしているので無ければ、「バイト単位のフレーム長とかは暗記する必要も気にする必要も全く無いんだよ!」というのがせでぃの持論。


おまけ)

Ethereal
王道中の王道のフリーウェア。お試しの方はこれで十分。
Sniffer Pro
解析ツールの始祖とは言え、作りが古いわ有料だわでそれほど秀逸でもない。可もなく不可もなくと言ったところか。タイマー機能が嬉しい。うちはWin95で動かしてます。ある意味凄いw
Astec Eyes
グラフィカルだし、バリバリ日本語だし、何と言ってもリモートデスクトップとか無しに遠隔操作できる。お奨め。シェアウェア
Agilent network Analyzer
優秀なんだろうなとは思うけど、フリーウェア版が「リアルタイムでバッファをディスク(HDD)に書き込む」機能が制限されてて、実用に耐えなかった記憶がある。ヘルプだけ、完全日本語対応してるのが謎w
Epoch Packet Detecter
日本語が嬉しい。国産のフリーウェアの中ではマトモな方ではないかと。どっちかって言うと統計の分析に向いているか。

お金かけられるんだったらPC1台に入れて動作するこれらのソフトを使うよりかは、サーバで動作する統合解析ソフトをお奨めします。


以下引用

ネットワーク解析ツール
ctime: 06/07/26(Wed) 22:39
 こんばんは。

 キャトルミューティレーションと神隠しの真実は、ただの超大規模地盤沈下だったというアメリカのネバダ州から生中継で伝えられたニュース、昔あったなぁそう言えば、話題になったっけなぁ、という夢を昨晩見てしまったがまです。ども。

 正直、ネバダ州がアメリカにあるのかどうかも知らんけどな。


 さて、本題です。ネットワーク屋って結構現場主義で、おべんきょで出てくるプロトコルの知識なーんて中々実践では役に立てていない人(がまとかがまさんとかがまがえるとかね)が結構いる。で、ネットワーク解析ツールを使う段になって困ってしまう訳ですよ。おいおい、説明書読んでも、ネット探してもわかんねーぞ、となる訳です。

 まぁ、プロトコルの話はひとまず置いといて(ぅぉぃ、ここでは綺麗事は抜きにした実践的な使い方を考えてみようと思います。

 まず、ネットワーク解析ツールの出番というのは結構限られてまして、四六時中眺めているもんではありません。例えば、そうだなぁ。完全にネットワークが停止したら出番なんてありませんから、通信速度が遅いとか、間断的に停止するといった、微妙なところで使う場合がほとんどです。正直、諸手を挙げて降参する直前くらいの出番が多いかと思います。なので、がま的にはあまり好きになれないツールの一つなんです。

 10Mbpsと聞いて、遅いなぁと思う方が多いかと思いますけど。とんでもない! 解析ツールでキャプチャ(ネットワークを流れるデータを解析ツールで見られるように保存すること)したら、1秒で10Mbitですよ。保存って言ったって、必ずメモリに一旦バッファし(ため)なきゃいけないわけですから、そうそう長い時間キャプチャできるもんじゃあないんです。気分は一発必中ですよ。よくわからん得たいの知れない何かを探すために、一発必中とか言われたら途方にも暮れますって。

 で、何を見ればいいかという核心の部分ですが、もう、大抵の初心者講座は「場合によって使い分けろ」という当たり障り無い、でも間違ってない答えしか返って来ません。ここを何とかしたいわけですよ。今回。ええもう、面倒いけど場合分けだってしちゃいますよ。

 まぁ、核心部分は次回に回しますけども、一言だけいっとくと、フレームヘッダのほとんどは読む必要が無いってことですね。それから、セキュリティに五月蠅い昨今、ストリーミング(フレームやパケットの再生)は不要ってことくらいか。面白いけどね。ほとんどは暗号化のお陰で文字化けしてるし、そこまで覗いたら盗聴だしね。