[ADSI TroubleShoot] 問題解決ステップ (2) "ネットワークトレース netmon を取って見よう!…えっ、覗き見も出来ちゃうって!?"
みなさんごきげんよう。ういこです。
私は普段、NHK のニュースかアニマックスかファミリー劇場くらいしか見ないのですが、このチームにいると、プロレスネタとか、いわゆる ”東スポ系” “大スポ系” のネタなどに異様に強くなるということに気づきました。私、”ミスター” ながしまさんが若かりしころ、三角形に切ったスイカの頂点の部分だけしかお召し上がりにならなかったという話、ぴろとくんもお父さんも普通に知ってるので、常識だと思ってましたが必ずしもそうではないのですね。保育園のママ友達にこの話を出したら知らないといわれて、もしかして私の常識って世間の非常識!?と悩んでおります。(その他知らないといわれたこと : 空手バカ一代の眉そりなど)
さて、単発記事で本記事をごらん頂いているお客様はさっぱり不明かと思いますが、本日この記事の前に、トラブルシュートについての話をちょろっと、本当に先っちょだけな感じで導入編的な意味のトラブルシュートの記事を書いてみたのですが、その中で「ネットワーク トレース素晴らしいわ★ 」と谷崎潤一郎の「陰影礼賛」なみにネットワークトレースを礼賛してみたのですが、巨匠とは似ても似つかない奇怪な文章になってしまい残念です。というのはおいといて、ネットワーク トレース (netmon、ネットモンともいわれますね) をこれまで取ったことがない!というかたもいらっしゃったかなーと思います。本当にとるだけ~のところですが、そこの部分について書かせていただきたいと思います。
でも、ただネットワークトレースのとり方だけを書いても芸がないので、今回は覗き見のしかたもおまけしちゃいます★
どんな覗き見かは…下の記事のお楽しみです♪
ネットワーク トレースをとるツールは何? - “Netmon”
2009 年 5 月 15 日現在、弊社では Network Monitor 3.3 が流行の最先端です。ナウです。トレンディです。無料なので、どんどんご利用くださいませ!3.2 からの新機能一覧はこちら。(← クリックすると別ウインドウが開きます)
インストーラがついていますので、その流れに身を任せていけばあら不思議あっというまに netmon が導入されます。もうテレサもびっくりです。
インストールがまったりと終わったら、[スタート] メニューから [Microsoft Network Monitor x.x] を展開し、起動してみます。起動すると激しくWelcome されます。フレンドリー。
それでは、いよいよトレースを取ってみましょう。手順は以下のとおり!
ネットワーク トレースを取る : その1
(クライアント – サーバ間、クライアント側で取得する場合)
一般的には、問題の発生している端末でトレースをとることが多いでしょう。
構成図として究極まで簡略化すると、こんなかんじになるパターンです。
[クライアント] --- [インテリジェント ハブ] --- [サーバ (ドメイン コントローラ) ]
1. 以下のサイトからネットワークモニタをダウンロードし、インストールします。
Microsoft Network Monitor 3.3
※”http” から “#filelist” までが URL になります。本ツールは英語版ですが、日本語環境にもインストールすることも可能です。
2. ネットワークモニタを起動し、メニューから [Tools] - [Options] をクリックします。
3. [Capture] タブの [Temporary capture file] の [Size] を 100 に変更します。
4. [Start Page] タブの [Select Networks] ウィンドウで、対象となるネットワークのみチェックします。
5. UI 上の右上の [Options] ボタン ([How Do I] ボタンの横) を押しても [Options] ダイアログが表示されますので、[Capture] タブの下から 2 番目の [Enable Conversations (consumes more memory)] にチェックが入っていないことを確認してください。その後、[Start Page] タブの [Recent Caputers] ウインドウ (既定では左上の子ウインドウになります) の"Create : New capture tab..." の "New capture tab..."部分をクリックします。
6. または F5 キーを押してトレースの取得を開始します。
7. 目的のトレースが取得できたら、ネットワークモニタのメニューから [Capture] - [Stop] をクリック、または F11 キーを押してトレースの取得を終了します。
8. ネットワークモニタのメニューから [File] - [Save As...] をクリックします。
9. [Frame selection] で [All captured frames] をクリックし、ファイル名を付けて保存します。
… これが基本の手順です。
でも…たとえば KIOSK 端末とか、ログオン時の遅延とか、トレースを取ることが間に合わなかったり、そもそもログオンして、ユーザがネットワーク モニタをいじれないといった事情がある場合、ありますよね?そういう場合はどうしたらいいでしょう?一般的には、この二つに集約されるかな、と思います。
1.LAN アナライザを使う
2.ネットワーク モニタを “プロミスキャス” モード (PMode) で別の端末から問題のクライアントとサーバのやりとりをひっそり覗いてみる
おお、2. なんてまさに TV ドラマの ”家政婦は見た!”のような感じですよ。余談ですが、当ブログのタイトル “管理者は見た!” のもとねたでございます。
それでは、この 2. について掘り下げてみましょう。
ネットワーク トレースを取る : その2
(プロミスキャスモード + リピータハブを使う)
ドキドキしながら覗き見ってなに!?と思ってた方ごめんなさい、ネットワークトレースの覗き見のことでした。なんだか肌色のサムネイルクリックしたら芸人さんの芸だった(それはそれでおもしろいんだけど)みたいな気分にさせたかもしれません。ほんとすみません!!
というわけで、気を取り直して覗き見モード、すなわちネットワーク上の自分とサーバ以外のパケットのやり取りもゲットしちゃう方法についてお付き合いさせてくださいませ。
…とかいってのっけからプロミスキャスモード (Pmode) なんて耳慣れない言葉がでてきました。プロミスモードって何よ?というところから進めさせていただきますです。ちょいと古いドキュメントですが、概念は変わりませんから引用しますね。
Microsoft Windows 2000 テクニカル リファレンス セキュリティ ガイド
第 11 章 ‐ ネットワークのセキュリティ
「Microsoft Windows 2000 テクニカルリファレンス セキュリティガイド」 (発行 : 日経 BP 社) より抜粋
https://technet.microsoft.com/ja-jp/library/cc985275.aspx
11.1.1 パケットの捕捉
ネットワークアナライザ、つまり「スニッファ」は、ネットワークに接続して、システム間で送受信されるデータを捕捉するデバイスである。スニッファは、ネットワークインターフェイスをプロミスキャスモードと呼ばれるものにすることで、宛先の特定コンピュータだけでなく、ネットワーク上の全パケットを読み取る。アナライザは、携帯型の装置やコンピュータ上で実行されたソフトウェアプログラムの場合もある。SMS (Microsoft Systems Management Server) にはネットワークモニタと呼ばれるネットワークアナライザが付属しており、そのほかにも同様の製品がたくさん販売されている。これらのツールでは、機密ファイルの一部など、内部のデータを含めて、各パケットの中身を読み取ることができる。平文でネットワーク上を伝送される情報は、この種の攻撃に弱い。
…難しいですね。何でこんなに技術文書ってわかりづらいんでしょう。要はプロミスキャスモードというモードを使えば、ネットワーク上の全部のやりとりをゲットできるってことです。
通常は、ネットワークモニタを起動した端末上のパケットをとるのが基本ですが、プロミスキャスモードを使うと、ネットワーク全体のパケットの流れをとる、という感じです。つまりイメージとしては、砂金取りですね。川底の砂をごっそりと取り、ふるいにかけて金を探す(時には黄鉄鉱だったりして) というイメージが近いと思うです。この場合、
・川底の砂 = ネットワークのすべてのパケット
・ふるい = ネットワークモニタのフィルタ
になりますね。うわ、大変!と思っても、監視したいマシンの IP アドレスなどがわかれば、フィルタかけてしまえばわかりやすいです。大丈夫!
ただし、この場合、覗き見専用モジュールとして、リピータハブ(通称バカハブ)が必要です。
構成はこんな感じになります。
インテリジェントハブとクライアントの間に、さらにリピータハブが入り、そこにnetmon を取得する第三者的なマシンを加えることになります。(上記図の Netmon の PC) 前述の “ネットワーク トレースを取る : その1” の図では、クライアントにネットワークモニタを取っていましたが、今回は新たに加わったマシン上でネットワークトレースをとることになります。
ただ、このときにネットワーク モニタをとる手順がちょいとかわります。といっても手順 4. だけ!
この、赤字の部分だけです。簡単ですね!あとは手順は、前の 1. から 3. も 5. 以降も一緒です。
4. [Start Page] タブの [Select Networks] ウィンドウで、対象となるネットワークのみチェックします。
対象となっているネットワークがグレーになっている状態にて、 [P-Mode] を選択してください。
3. フィルタかけてみるかな
しかし、採って見てわかると思うのですが、すごい膨大ですよね。ぴろとくんのように、”I love ネットモン (← なんかデジモンみたいだな)” な人でないと、そのまま見ても苦痛だと思います。少なくとも私は気が遠くなります。そんな人のために、フィルタがあります。 簡単な例を見ましょう。
ネットワークモニタのメニュー、[Filter] – [Display Filter] – [Load Filter] – [Standard Filters] – [Addresses] - [[IPv4 Addresses]を選んでみましょう。これで、IPv4 のアドレスである程度絞り込めます。このようなために、クライアントとサーバの IP アドレスがほしいということになるんですね。
これを選ぶとネットワークモニタの右ペインのうえに、フィルタというよりまるでプログラムのような Window が開きます。ここで、参照したいアドレスをいれれば OK です。
★↓クリックすると大きな画面が開きます(別ウインドウ)
****
ここで一個、ちょっと難しいところが。
いまどきって、リピータハブ、なかなか売ってないし、売ってても高いんですよね!私も社内で探しまくりました。コリジョンランプが可愛いです。近頃の若いかたがたはご存じないかもなのですが、リピータハブはネットワークのメンバの一人からもらったパケットをすべてのメンバに広めちゃうお茶目なやつです。あれですよ、たとえば誰かに秘密を打ち明けたとします。ところが、リピータハブな役割の人は何をするかというと、「XXちゃんにだけしか言わないよ」というのを、無修正でランチ仲間全員に言いふらす、そんな感じです。
でも、そんな人だって役立ちます。そう、誰かと誰かの会話をひっそり把握したいなんてとき、その人経由で情報をゲットできるからです。しかも、無修正ですから、正確にとれます!これが、2. のシナリオの場合にネットワーク全体のデータを取るためにリピータハブが必要な理由です。
それではまた~
~ ういこう@市原悦子さんって最高 ~