ネットワークが異常な場合のパケットキャプチャの手順

一般的に使用されるパケットキャプチャツール
の概要次に、LinuxおよびWindows環境で一般的に使用されるパケットキャプチャツールについて説明します
。Linux環境でのパケットキャプチャツールWindows環境でのパケットキャプチャツール

Linux環境のパケットキャプチャツール

Linux環境では、通常、tcpdumpがパケットのキャプチャと分析に使用されます。これは、ほとんどすべてのLinuxディストリビューションにプリインストールされているデータパケットキャプチャおよび分析ツールです。tcpdumpツールを入手してインストールする方法については、公式のtcpdumpドキュメントを参照してください。
tcpdumpの使用例

tcpdump [ -AbdDefhHIJKlLnNOpqStuUvxX# ] [ -B buffer_size ] 
         [ -c count ] 
         [ -C file_size ] [ -G rotate_seconds ] [ -F file ] 
         [ -i interface ] [ -j tstamp_type ] [ -m module ] [ -M secret ] 
         [ --number ] [ -Q in|out|inout ] 
         [ -r file ] [ -V file ] [ -s snaplen ] [ -T type ] [ -w file ] 
         [ -W filecount ] 
         [ -E spi@ipaddr algo:secret,... ] 
         [ -y datalinktype ] [ -z postrotate-command ] [ -Z user ] 
         [ --time-stamp-precision=tstamp_precision ] 
         [ --immediate-mode ] [ --version ] 
         [ expression ]

一般的なパラメータの説明（大文字と小文字を区別）
-sは、パケットキャプチャの長さを設定するために使用されます。-sが0の場合、データパケットをキャプチャするために適切な長さが自動的に選択されることを意味します。
-wは、コンソールで分析して印刷する代わりに、キャプチャ結果をファイルにエクスポートするために使用されます。
-iは、監視する必要のあるインターフェイス（ネットワークカード）を指定するために使用されます。
-vvvは、詳細なインタラクティブデータを出力するために使用されます。
式は、メッセージのフィルタリングに使用される正規表現です。主に次のカテゴリが含まれます：
指定されたタイプのキーワード：ホスト（ホスト）、ネット（ネットワーク）、ポート（ポート）を含みます。
送信方向を指定するキーワード：src（ソース）、dst（宛先）、dstまたはsrc（ソースまたはターゲット）およびdstおよびsrc（ソースおよびターゲット）を含みます。
指定されたプロトコルのキーワード：icmp、ip、arp、rarp、tcp、udpおよびその他のプロトコルタイプを含みます。
パラメータの説明と使用法の詳細については、tcpdumpのマンページを参照してください。

一般的な使用法とサンプル出力
指定されたネットワークカードの指定されたポートのインタラクティブデータをキャプチャします。
取扱説明書：

tcpdump -s 0 -i eth0 port 22

サンプル出力：

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
20:24:59.414951 IP 172.16.2.226.ssh > 42.120.74.107.43414: Flags [P.], seq 442372:442536, ack 53, win 141, length 164
20:24:59.415002 IP 172.16.2.226.ssh > 42.120.74.107.43414: Flags [P.], seq 442536:442700, ack 53, win 141, length 164
20:24:59.415052 IP 172.16.2.226.ssh > 42.120.74.107.43414: Flags [P.], seq 442700:442864, ack 53, win 141, length 164
20:24:59.415103 IP 172.16.2.226.ssh &gt; 42.120.74.107.43414: Flags [P.], seq 442864:443028, ack 53, win 141, length 164</code></pre>

指定されたネットワークカードから指定されたIPの指定されたポートに送信されたインタラクティブデータを取得し、コンソールに詳細なインタラクティブ情報を出力します。

取扱説明書：

tcpdump -s 0 -i eth1 -vvv port 22</code></pre>

サンプル出力：

tcpdump: listening on eth1, link-type EN10MB (Ethernet), capture size 65535 bytes
20:24:20.991006 IP (tos 0x10, ttl 64, id 22747, offset 0, flags [DF], proto TCP (6), length 316)
172.16.2.226.ssh > 42.120.74.107.43414: Flags [P.], cksum 0x2504 (incorrect -> 0x270d), seq 133624:133900, ack 1, win 141, length 276
20:24:20.991033 IP (tos 0x0, ttl 53, id 2348, offset 0, flags [DF], proto TCP (6), length 92)
42.120.74.107.43414 > 172.16.2.226.ssh: Flags [P.], cksum 0x4759 (correct), seq 1:53, ack 129036, win 15472, length 52
20:24:20.991130 IP (tos 0x10, ttl 64, id 22748, offset 0, flags [DF], proto TCP (6), length 540)
172.16.2.226.ssh > 42.120.74.107.43414: Flags [P.], cksum 0x25e4 (incorrect -> 0x5e78), seq 133900:134400, ack 53, win 141, length 500
20:24:20.991162 IP (tos 0x0, ttl 53, id 2349, offset 0, flags [DF], proto TCP (6), length 40)
42.120.74.107.43414 > 172.16.2.226.ssh: Flags [.], cksum 0xf39e (correct), seq 53, ack 129812, win 15278, length 0

指定されたIPに送信されたpingインタラクションデータを取得し、コンソールに詳細なインタラクションデータを出力します。

取扱説明書：

tcpdump -s 0 -i eth1 -vvv dst 223.5.5.5 and icmp

サンプル出力：

tcpdump: listening on eth1, link-type EN10MB (Ethernet), capture size 65535 bytes
20:26:00.368958 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto ICMP (1), length 84)
172.16.2.226 > public1.alidns.com: ICMP echo request, id 55097, seq 341, length 64
20:26:01.369996 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto ICMP (1), length 84)
172.16.2.226 > public1.alidns.com: ICMP echo request, id 55097, seq 342, length 64
20:26:02.371058 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto ICMP (1), length 84)
172.16.2.226 > public1.alidns.com: ICMP echo request, id 55097, seq 343, length 64
20:26:03.372181 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto ICMP (1), length 84)
172.16.2.226 > public1.alidns.com: ICMP echo request, id 55097, seq 344, length 64

システム内のすべてのインターフェイスデータを取得し、指定したファイルに保存します。

取扱説明書：

tcpdump -i any -s 0 -w test.cap</code></pre>

サンプル出力：

tcpdump: listening on any, link-type LINUX_SLL (Linux cooked), capture size 65535 bytes

Windows環境のパケットキャプチャツール

Wiresharkパケットキャプチャステップ1.Wiresharkを
インストールして開きます。
2. [キャプチャ]> [オプション]を選択します。
3. WireSharkキャプチャインターフェイスインターフェイスで、インターフェイス名または対応するIPアドレスに従ってキャプチャする必要のあるネットワークカードを選択し、[開始]をクリックします。

4.十分なデータパケットをキャプチャしたら、[キャプチャ]> [停止]を選択します。

5. [ファイル]> [保存]を選択して、キャプチャ結果を指定したファイルに保存します。
Wiresharkツールとデータ分析方法の使用については、Wiresharkの公式ドキュメントを参照してください。