電文を確認する方法（パケット・キャプチャ）のバックアップ(No.11)

「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

戻る
- テスト
- 監視・パケット解析編

目次 †

目次
概要
- 比較表
使い方
参考
- プロミスキャス・モード

↑

概要 †

パケット・キャプチャ・ツールやネットワークのモニタリング・ツールとしては、

Wireshark
Network Monitor
netsh trace
netstat
パフォーマンス・カウンタ
タスク・マネージャ
システム基盤・ミドルウェア
上記以外のフリーツール
1. TCP Monitor Plus
2. HTTPデバッグ・プロキシ
  1. Fiddler（HTTP、HTTPS＆クライアント側専用）

などがあるようです。

↑

比較表 †

以下機能の比較表となっています。

比較項目	Wireshark	Network Monitor	netsh trace	netstat	パフォーマンス・カウンタ	タスク・マネージャ	システム基盤・ミドルウェア	TCP Monitor Plus	Fiddler
使用場所	任意（※２）	任意（※２）	任意	任意	任意	任意	サーバ	任意	クライアント
ライセンス	フリー	フリー	Windows同梱（※１）	Windows同梱	Windows同梱	Windows同梱	有償	フリー	フリー
インストール	必要（※２）	必要（※２）	不要	不要	不要	不要	－	不要	必要
マシン負荷	有（※２）	有（※２）	有	低	低	低	－	低	低
通信の監視範囲(セグメント指定等)	可能	可能	可能	不可能	一部可能（※３）	不可能	－	可能	不可能
統計作成	可能（※４）	可能（※４）	可能（※４）	可能 -e、-s（※５）	一部可能	ほぼ不可能	可能	可能	可能（性能情報）
パケット・キャプチャ	可能	可能	可能	不可能（ログ可）	不可能（ログ可）	不可能	不可能（SNMP）	不可能（ログ可）	可能（HTTP）

※１：Windows 7/Windows Server 2008 R2からの機能
※２：プロミスキャス・モードで別ノードからパケットを取得可能。この場合、インストールやマシン負荷の問題をクリアできる。
※３：監視範囲はパフォーマンス・オブジェクト、インスタンスで指定可能。しかし、セグメント指定は不可能。平均カウンタ（/sec）、積算値カウンタ（Total）を使い分け可能。
※４：パケット・キャプチャを行い別のツールで統計することも可能。
※５：インターフェイス・レベル、プロトコル・レベルの統計情報を表示する（IP, TCP, UDP, ICMP, IPv6, TCPv6, UDPv6, ICMPv6）

プロミスキャス・モードで別ノードからパケットを取得するに当たっては、スイッチに対してポートミラーリング等の設定が必要になるため恐らく、ネットワーク屋と連携する必要が出てくるものと思います。まず、これが可能か確認ください。

↑

使い方 †

1週間で学ぶネットワークの要点 - ［製品研究室］
パケット・キャプチャ・ソフト---目次：ITpro
http://itpro.nikkeibp.co.jp/article/COLUMN/20051115/224606/?ST=network

↑

Wireshark †

「Wiresharkの操作方法」を参照。

↑

Microsoft Network Monitor †

概要
- 機能的にはWiresharkと似通っていると思います。
- フリーのものと、製品同梱のものがあるようです。
- また、プロミスキャス・モードも存在する模様。
- データは Netmon 形式（*.cap）で保存し、Wiresharkで分析可能。

簡単な使い方の説明

ネットワーク・モニタ3.1を使う（基本編）－＠IT
http://www.atmarkit.co.jp/fwin2k/win2ktips/857netmon3/netmon3.html

＠IT：運用ネットワーク・プロトコルの理解と検証
- 第1回：ネットワーク・モニタの基本的な使い方 1．ネットワーク・モニタとは
  http://www.atmarkit.co.jp/fwin2k/operation/netanalysis01/netanalysis_02.html
- 第2回：ネットワーク・モニタのフィルタ機能を使う
  http://www.atmarkit.co.jp/fwin2k/operation/netanalysis02/netanalysis_01.html

ネットワークのパケットを解析する Microsoft Network Monitorの使用方法
http://www.crystal-creation.com/software/technical-information/network/tool/microsoft-network-monitor/

Microsoft Network Monitor 3.4 の利用方法しーるの忘備録
http://alt.st/142

MSDN Blogs > JAPAN Platform SDK（Windows SDK） Support Team Blog
　> ご存じですか、Microsoft Network Monitor はコマンドラインでも操作できます
http://blogs.msdn.com/b/japan_platform_sdkwindows_sdk_support_team_blog/archive/2011/04/27/network-monitor.aspx

Microsoft Network Monitor 日本語化
- 3.3：http://d.hatena.ne.jp/wwwcfe/files/networkmonitor33_ja.zip?d=download
- 3.4：http://d.hatena.ne.jp/wwwcfe/files/networkmonitor34_ja.zip?d=download

参考

ネットワークモニター - Web-DB プログラミング徹底解説
http://keicode.com/debug/dbg145.php

TechNet? Blogs > 管理者は見た！～AD と ILM 一家の秘密～
　> [ADSI TroubleShoot?] 問題解決ステップ (2)
　ネットワークトレース netmon を取って見よう！…えっ、覗き見も出来ちゃうって！？
http://blogs.technet.com/b/jpilmblg/archive/2009/05/15/adsi-troubleshoot-2-netmon.aspx

↑

netsh trace †

netsh traceの使い方については下記を参照下さい。

netshでネットワークトレース
http://troushoo.blog.fc2.com/blog-entry-24.html

Capturing Network Traffic on Windows 7 and Windows 2008R2
https://julianscorner.com/wiki/windows/networkcapture

以下、プレミアサポートで支持された採取手順の例
1. ログ格納用一時フォルダを作成します。以下の例では c:\temp フォルダです。
2. 管理者権限でコマンドプロンプトを起動します。
3. 以下のコマンドを実行します。
  　netsh trace start scenario=InternetClient? report=no capture=yes tracefile=c:\temp\http.etl
4. 再現手順を実施します。エラーが発生することを確認します。
5. コマンドプロンプトに戻り、以下のコマンドを実行します。
  　netsh trace stop
6. 以下のコマンドを実行します。
  　netsh trace convert input=c:\temp\http.etl out= c:\temp\out.txt dump=TXT
7. http.etl とout.txtが取得されます。

↑

netstat †

netstatの使い方については下記を参照下さい。

netstatコマンドを使いこなす－＠IT
http://www.atmarkit.co.jp/fwin2k/win2ktips/234netstat/netstat.html
netstat - ホストのネットワーク統計や状態を確認する
http://www.atmarkit.co.jp/fnetwork/netcom/netstat/netstat.html

例えば、netstat /b でTCP/IP接続状態と接続しているプロセス（exe）を特定できる。

TCP/IP接続状態については下記が参考になります。

＠IT：連載基礎から学ぶWindowsネットワーク第16回
信頼性のある通信を実現するTCPプロトコル（3）　2．TCPの状態遷移図
http://www.atmarkit.co.jp/fwin2k/network/baswinlan016/baswinlan016_03.html

管理者のためのコマンド活用講座 - netstat（1）――TCP通信の接続状況を調べる：ITpro
http://itpro.nikkeibp.co.jp/article/COLUMN/20100308/345506/

↑

パフォーマンス・カウンタ †

パフォーマンス・カウンタの使い方については下記を参照下さい。

Windows TIPS：パフォーマンス・モニタの使い方（基本編） - ＠IT
http://www.atmarkit.co.jp/ait/articles/0910/30/news114.html

【101シリーズ】パフォーマンスモニタ徹底攻略

以下は、簡単な要約。

監視範囲はパフォーマンス・オブジェクト、インスタンスで指定可能。
平均カウンタ（/sec）、積算値カウンタ（Total）は異なるので注意。
カウンタは沢山ありますので実機確認ください。
（OSのバージョンによっても使用できるカウンタが異なるため）

↑

タスク・マネージャ（ネットワーク・タブ） †

↑

システム基盤・ミドルウェア †

SNMPでネットワーク機器から情報を収集するタイプのものなどがあるようです。

ネットワーク管理 OpManager? > トラフィック監視
http://www.manageengine.jp/products/OpManager/network-performance-management.html#traffic-monitoring

↑

上記以外の上記以外のフリーツール †

↑

TCP Monitor Plus †

メジャーなソフトであるようです。

トラフィックモニターの詳細説明 - TCP Monitor Plus
http://hp.vector.co.jp/authors/VA032928/traffic.html

↑

HTTPデバッグ・プロキシ Fiddler †

HTTPデバッグ・プロキシ Fiddlerの使い方については下記を参照下さい。

Webセキュリティの小部屋
- Fiddler とは
  http://www.websec-room.com/2013/02/21/122
- Fiddler のインストール
  http://www.websec-room.com/2013/02/21/134
- Fiddler の簡単な使い方
  http://www.websec-room.com/2013/02/21/143
- Fiddler でリクエストパラメーターを改ざんする方法
  http://www.websec-room.com/2013/08/10/961

SST 株式会社セキュアスカイ・テクノロジー
SSTなるほど！コーナー 07 Fiddler の少し便利な使い方
https://www.securesky-tech.com/column/naruhodo/07.html
- HTTP通信のキャプチャ
- HTTPSの通信をキャプチャする
- リクエストの内容を書き換える
- リクエストを編集して再送する
- 特定のブラウザからの通信だけをキャプチャする
- スマートフォンの通信をキャプチャする

Fiddler を使って HTTPS トラフィックを確認する | idea.toString();
http://idea.tostring.jp/?p=1077

HTTPのパケットを確認したり、書き換える事が出来る
Web Debugging Proxy「Fiddler」の勉強会に行って来ました - 強火で進め
http://d.hatena.ne.jp/nakamura001/20141025/1414235842

↑

参考 †

↑

プロミスキャス・モード †

イーサネットのNICなどにおいて、
- 自ノード宛てだけではなく、
- イーサネット上を流れているすべての

フレーム・パケットを取り込むという動作モード。

フレーム・パケットをキャプチャして解析する
ネットワーク型IDS、RMON、パケットキャプチャツールなどで利用される。

プロミスキャス・モードで動作するパケットキャプチャツールは、
- 流れるパケットの内容すべてを見ることができるため、
- 他のノード宛ての通信内容も参照でき、技術的にも盗聴と同様の動作になる。

このため、プロミスキャス・モードを利用するためには
特権レベル（Administrator）の権限が必要となっているOS・ツールが多い。

Tags: :通信技術, :障害対応, :性能, :デバッグ, :Windows

電文を確認する方法（パケット・キャプチャ） のバックアップ(No.11)