パケットキャプチャは取得された環境はパケットの情報に含まれない、と以前の記事「パケットキャプチャをする前に知っておきたいこと」で書きました。ですので、パケットを解析する前にキャプチャ環境を担当者にヒアリングすることは非常に重要です。ですが、パケットの情報を手がかりにどんな環境でキャプチャされたか、ということを推測できる場合もあります。今回は、パケットのどの情報でどんなことがわかるかを解説します。 list 目次SYN-SYN/ACKとSYN/ACK-ACKのデルタ時間からキャプチャポイントを推測するTTLからホストのOSとホップ数を推測するチェックサムエラーから取得方法を推測するあとがきSYN-SYN/ACKとSYN/ACK-ACKのデルタ時間からキャプチャポイントを推測するTCPの３ウェイハンドシェイクの「SYN-SYN/ACK」と「SYN/ACK-ACK」のデルタタイムをみるとどこで...

Pcapファイルを開くとアラートがたくさん発生していてびっくりした、という経験はありませんか。実はこのケース、私もお客様先で何度か遭遇したことがあります。その場合、ネットワークのトラブルを疑う前にまず確認すべきことがあります。今回は、その原因と対策について解説します。 list 目次Retransmissionが大量発生していた場合にまず確認すること考えられる原因と対策「SYNESIS」の重複パケット除去機能あとがきRetransmissionが大量発生していた場合にまず確認することPcapファイルを開くとRetransmissionが発生しているようにみえます。その場合は、まずどのパケットにRetransmissionが発生しているかを調査します。すべてのパケットについて、もしくはネットワークの方向が同じもののみすべてRetransmissionが起こっていた場合は、本当に再送パケット...

ESPの復号#1では、IPsecの仕組みとWireshark上での復号手順について解説しました。今回は、実際にSAの情報等を入力して、Wireshark上でパケットを復号し、プロトコルがどのように見えるかを確認します。 list 目次今回復号で使用する環境ESPの復号前と復号後を比較 -トランスポートモード-ESPの復号前と復号後を比較 -トンネルモード-トランスポートモード vs トンネルモードSYNESISのデコード画面の復号表示あとがき今回復号で使用する環境今回使用する環境は以下のとおりです。今回は手っ取り早くWiresharkの公式サイトにあるpcapファイルで確認します。公式サイトでは、IPsec以外にも様々なプロトコルがダウンロードできますので、興味がある方は、Wireshark SampleCapturesで探してみてください。 PC環境 Windows 10 Pro Wiresh...

ESP（Encapsulated Security Payload）は、IPsec（Internet Protocol Security）で使用するプロトコルのひとつであり、データの機密性と整合性を担保します。つまりEPS上のデータは暗号化されており、通常ではWireshark上でパケットの中身を確認することはできません。今回は、IPsecの仕組みとESPの復号をWiresharkで行う設定と手順について解説します。 list 目次IPsecの仕組みWiresharkでESPを復号する手順あとがきなお、以前にWiresharkでSSL/TLSの復号する記事を書いています。こちらもよろしければご覧ください。IPsecの仕組みIPsecは、インターネット上の通信のセキュリティを確保するためのプロトコルです。IPsecは複数のプロトコルで構成されており、データの機密性、整合性、および送信元の認証を提供...

TLSの復号#2で、SYNESISとWindows PCの間でどのような通信がされているかを復号したパケットで確認しました。その際、TLS1.2とTLS1.3では、だいぶ異なった動きをしていましたので、今回は比較した結果とTLSバージョンの違いについて解説します。 list 目次TLS1.2で通信するための設定TLS1.2 vs TLS1.3IETFでの策定までの道のりTLS1.3とそれ以前のバージョンの違いTLS1.3の名称あとがきなお、今回も前回同様Wireshark Ver.3.6.8で検証を行います。TLS1.2で通信するための設定実験環境はTLSの復号#2と同じです。ただし、TLS1.2で通信をさせるためには、サーバかクライアントのどちらかの設定変更が必要です。今回はクライアント側（ブラウザの設定）を変更しました。FirefoxでTLSのバージョンを変更する方法は、以下のとおりです。 ...

TLSの復号#1で、SSL/TLSを復号するためのWiresharkの設定について解説しました。今回は、その設定を使用して実際に復号化されたパケットを見てみます。 list 目次TLSパケットの構成今回使用した実験環境SYNESISとの通信パケットを復号あとがき余談ですが、やっとWireshark Ver.4.0がリリースされましたね。しかしながら、前回の記事はVer.3.6.8の内容で書きましたので、引き続き同じパージョンで解説していきます。TLSパケットの構成実際にパケットを見る前にTLSパケットの構造についての概要です。TLSは「TLSハンドシェイクプロトコル」と「TLSレコードプロトコル」の２つのプロトコルが存在します。 プロトコル 役割 TLSハンドシェイクプロトコル 暗号化通信を行うにあたっての必要なパラメータをネゴシエートするプロトコル ...

最近のWebは、サイト全体が暗号化されています。これは、すなわちなりすましや盗聴、改ざんのリスクが低減することを意味していますので、ユーザにとっては安心です。しかしながら、管理者にとっては、どのようなやりとりが発生していたか暗号化されているためわからず悩ましい問題となっています。マルウェアを通信の中に紛れ込ませてドライブ・バイ・ダウンロードを仕掛ける、みたいな暗号化を逆手に取った攻撃も最近では増えてきていると聞きます。みなさまおなじみのWebの通信は、サーバとクライアントの間をTLS(Transport Layer Security)というプロトコルで暗号化しています。今回は、キャプチャしたTLSプロトコルのWiresharkでの復号設定について解説します。Wiresharkは、Ver.3.6.8（現時点での安定化最新バージョン）を使用しています。 list 目次SSL/TLSバージョンの変...

一般的にパケットキャプチャツールといえば、まず「Wireshark」を思い浮かべる方が多いのではないでしょうか。ネットワークのお仕事に携わっている方であれば、一度は耳にしたことがある名前だと思います。オープンソースソフトウェアですので、だれでも手軽に使うことが可能です。まだ使ったことがない方は、Wireshark ダウンロードページから一度お試しください。インストールに際し、面倒なユーザ登録等は一切必要ありません。すぐにパケットキャプチャが始められます。今回は、Wiresharkでできることとできないこと、どんなときに有償ツールが必要となるかについて解説します。 list 目次Wiresharkの２つの機能なぜ有償ツールが必要かパケットキャプチャ製品「SYNESIS」についてあとがきWiresharkの２つの機能Wiresharkには、大きくわけて２つの機能があります。それは、「パケットキ...

ユーザから「ネットワークの遅延をはかりたい」という要望をいただくことがあります。ネットワーク機器や計測器には、「遅延」を測定できるものが数多く存在します。そのくらいネットワークを監視する上で、遅延をはかることは重要だと考えられています。今回は、ネットワークにおける「遅延」の一般的な解釈と計測する手法について解説します。 list 目次ネットワークの遅延とはネットワークに関わる遅延とアプリケーションに関わる遅延ネットワークの遅延をはかる方法RAILモデルでの遅延あとがきネットワークの遅延とは遅延といった場合、まずは「片側遅延」なのか「往復遅延」をはっきりさせる必要があります。ネットワークでは特に断りがない場合、「往復遅延」を指すことのほうが多いように思いますが、この2つは2倍近く数値が違いますので注意します。片側遅延と往復遅延往復遅延はラウンドトリップタイム(RTT)ともいい、「パケットが...

当社で販売している「SYNESIS」は、パケットキャプチャ装置です。大容量のパケットをロスなく長期間保存できることが最大の特長です。パケットキャプチャは、昔からあるレガシーの技術ですが、今なおネットワークを可視化する一般的な手段として新人からベテランエンジニアまで幅広く使われています。今回は、私が新人のときにパケットキャプチャをする前に知っておきたかったことについてご紹介します。 list 目次パケットキャプチャとはキャプチャしたパケットに含まれる情報パケットキャプチャをする前に知っておくこと情報を追加できるPcapngの拡張フィールドパケットキャプチャ製品の選定あとがきパケットキャプチャとはパケットキャプチャとは、通信パケットのコピーを何らかの方法で受信し、それをメモリやハードディスク等に書き込むことです。この「何らかの方法」ですが、TAPかSPANを使う方法が一般的です。詳細は、TA...