「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicrosofttech.osscons.jp/]]」は、「[[Open棟梁Project>https://github.com/OpenTouryoProject/]]」,「[[OSSコンソーシアム .NET開発基盤部会>https://www.osscons.jp/dotNetDevelopmentInfrastructure/]]」によって運営されています。 -戻る --[[テスト]] --[[監視・パケット解析編]] * 目次 [#k0e0b40a] #contents *概要 [#ofb5f0e7] パケット・キャプチャ・ツールやネットワークのモニタリング・ツールとしては、 +[[Wireshark>#naf4fbee]] +[[Network Monitor>#p8c66027]] +[[netsh trace>#c9fb859c]] +[[netstat>#i19fe9e1]] +[[パフォーマンス・カウンタ>#ja49147e]] +[[タスク・マネージャ>#s13d8cf4]] +[[システム基盤・ミドルウェア>#i36bbbd0]] +上記以外のフリーツール ++[[TCP Monitor Plus>#c668ceaa]] ++HTTPデバッグ・プロキシ +++[[Fiddler>#w11d3ad2]](HTTP、HTTPS&クライアント側専用) などがあるようです。 **比較表 [#p73f998f] 以下機能の比較表となっています。~ |BGCOLOR(#cccccc):||||||||||c |比較項目|[[Wireshark>#naf4fbee]]|[[Network Monitor>#p8c66027]]|[[netsh trace>#c9fb859c]]|[[netstat>#i19fe9e1]]|[[パフォーマンス・カウンタ>#ja49147e]]|[[タスク・マネージャ>#s13d8cf4]]|[[システム基盤・ミドルウェア>#i36bbbd0]]|[[TCP Monitor Plus>#c668ceaa]]|[[Fiddler>#w11d3ad2]]|h |使用場所|任意(※2)|任意(※2)|任意|任意|任意|任意|サーバ|任意|クライアント| |ライセンス|フリー|フリー|Windows同梱(※1)|Windows同梱|Windows同梱|Windows同梱|有償|フリー|フリー| |インストール|必要(※2)|必要(※2)|不要|不要|不要|不要|-|不要|必要| |マシン負荷|有(※2)|有(※2)|有|低|低|低|-|低|低| |通信の監視範囲(セグメント指定等)|可能|可能|可能|不可能|一部可能(※3)|不可能|-|可能|不可能| |統計作成|可能(※4)|可能(※4)|可能(※4)|可能 -e、-s(※5)|一部可能|ほぼ不可能|可能|可能|可能(性能情報)| |パケット・キャプチャ|可能|可能|可能|不可能(ログ可)|不可能(ログ可)|不可能|不可能(SNMP)|不可能(ログ可)|可能(HTTP)| -※1:Windows 7/Windows Server 2008 R2からの機能 -※2:[[プロミスキャス・モード>#u1adeac2]]で別ノードからパケットを取得可能。この場合、インストールやマシン負荷の問題をクリアできる。 -※3:監視範囲はパフォーマンス・オブジェクト、インスタンスで指定可能。しかし、セグメント指定は不可能。平均カウンタ(/sec)、積算値カウンタ(Total)を使い分け可能。 -※4:パケット・キャプチャを行い別のツールで統計することも可能。 -※5:インターフェイス・レベル、プロトコル・レベルの統計情報を表示する(IP, TCP, UDP, ICMP, IPv6, TCPv6, UDPv6, ICMPv6) [[プロミスキャス・モード>#u1adeac2]]で別ノードからパケットを取得するに当たっては、スイッチに対してポートミラーリング等の設定が必要になるため恐らく、ネットワーク屋と連携する必要が出てくるものと思います。まず、これが可能か確認ください。 *使い方 [#fdf420e8] -1週間で学ぶネットワークの要点 - [製品研究室]~ パケット・キャプチャ・ソフト---目次:ITpro~ http://itpro.nikkeibp.co.jp/article/COLUMN/20051115/224606/?ST=network **[[Wireshark>Wiresharkの操作方法]] [#naf4fbee] 「[[Wiresharkの操作方法]]」を参照。 **Microsoft Network Monitor [#p8c66027] -概要 --機能的にはWiresharkと似通っていると思います。 --フリーのものと、製品同梱のものがあるようです。 --また、[[プロミスキャス・モード>#u1adeac2]]も存在する模様。 --データは Netmon 形式(*.cap)で保存し、Wiresharkで分析可能。 -簡単な使い方の説明 --ネットワーク・モニタ3.1を使う(基本編) - @IT~ http://www.atmarkit.co.jp/fwin2k/win2ktips/857netmon3/netmon3.html --@IT:運用 ネットワーク・プロトコルの理解と検証~ ---第1回:ネットワーク・モニタの基本的な使い方 1.ネットワーク・モニタとは~ http://www.atmarkit.co.jp/fwin2k/operation/netanalysis01/netanalysis_02.html ---第2回:ネットワーク・モニタのフィルタ機能を使う~ http://www.atmarkit.co.jp/fwin2k/operation/netanalysis02/netanalysis_01.html --ネットワークのパケットを解析する Microsoft Network Monitorの使用方法~ http://www.crystal-creation.com/software/technical-information/network/tool/microsoft-network-monitor/ --Microsoft Network Monitor 3.4 の利用方法 しーるの忘備録~ http://alt.st/142 --MSDN Blogs > JAPAN Platform SDK(Windows SDK) Support Team Blog~ > ご存じですか、Microsoft Network Monitor はコマンドラインでも操作できます~ http://blogs.msdn.com/b/japan_platform_sdkwindows_sdk_support_team_blog/archive/2011/04/27/network-monitor.aspx -Microsoft Network Monitor 日本語化 --3.3:http://d.hatena.ne.jp/wwwcfe/files/networkmonitor33_ja.zip?d=download --3.4:http://d.hatena.ne.jp/wwwcfe/files/networkmonitor34_ja.zip?d=download -参考 --ネットワークモニター - Web-DB プログラミング徹底解説~ http://keicode.com/debug/dbg145.php --TechNet Blogs > 管理者は見た!~AD と ILM 一家の秘密~~ > [ADSI TroubleShoot] 問題解決ステップ (2)~ ネットワークトレース netmon を取って見よう!…えっ、覗き見も出来ちゃうって!?~ http://blogs.technet.com/b/jpilmblg/archive/2009/05/15/adsi-troubleshoot-2-netmon.aspx **netsh trace [#c9fb859c] netsh traceの使い方については下記を参照下さい。 -netshでネットワークトレース~ http://troushoo.blog.fc2.com/blog-entry-24.html -Capturing Network Traffic on Windows 7 and Windows 2008R2~ https://julianscorner.com/wiki/windows/networkcapture -以下、プレミアサポートで支持された採取手順の例 ++ログ格納用一時フォルダを作成します。以下の例では c:\temp フォルダです。 ++管理者権限でコマンド プロンプトを起動します。 ++以下のコマンドを実行します。~ netsh trace start scenario=InternetClient report=no capture=yes tracefile=c:\temp\http.etl ++再現手順を実施します。エラーが発生することを確認します。 ++コマンド プロンプトに戻り、以下のコマンドを実行します。~ netsh trace stop ++以下のコマンドを実行します。~ netsh trace convert input=c:\temp\http.etl out= c:\temp\out.txt dump=TXT ++http.etl とout.txtが取得されます。 **netstat [#i19fe9e1] netstatの使い方については下記を参照下さい。 -netstatコマンドを使いこなす - @IT~ http://www.atmarkit.co.jp/fwin2k/win2ktips/234netstat/netstat.html -netstat - ホストのネットワーク統計や状態を確認する~ http://www.atmarkit.co.jp/fnetwork/netcom/netstat/netstat.html 例えば、netstat /b でTCP/IP接続状態と接続しているプロセス(exe)を特定できる。 -TCP/IP接続状態については下記が参考になります。 --@IT:連載 基礎から学ぶWindowsネットワーク 第16回~ 信頼性のある通信を実現するTCPプロトコル(3) 2.TCPの状態遷移図~ http://www.atmarkit.co.jp/fwin2k/network/baswinlan016/baswinlan016_03.html --管理者のためのコマンド活用講座 - netstat(1)――TCP通信の接続状況を調べる:ITpro~ http://itpro.nikkeibp.co.jp/article/COLUMN/20100308/345506/ **パフォーマンス・カウンタ [#ja49147e] パフォーマンス・カウンタの使い方については下記を参照下さい。 -Windows TIPS:パフォーマンス・モニタの使い方(基本編) - @IT~ http://www.atmarkit.co.jp/ait/articles/0910/30/news114.html -【101シリーズ】パフォーマンスモニタ徹底攻略~ --基礎編~ http://sophiakunii.wordpress.com/2013/09/26/%E3%80%90101%E3%82%B7%E3%83%AA%E3%83%BC%E3%82%BA%E3%80%91%E3%83%91%E3%83%95%E3%82%A9%E3%83%BC%E3%83%9E%E3%83%B3%E3%82%B9%E3%83%A2%E3%83%8B%E3%82%BF%E5%BE%B9%E5%BA%95%E6%94%BB%E7%95%A5-%EF%BD%9E/ --パフォーマンスの確認編~ http://sophiakunii.wordpress.com/2013/09/30/%e3%80%90101%e3%82%b7%e3%83%aa%e3%83%bc%e3%82%ba%e3%80%91%e3%83%91%e3%83%95%e3%82%a9%e3%83%bc%e3%83%9e%e3%83%b3%e3%82%b9%e3%83%a2%e3%83%8b%e3%82%bf%e5%be%b9%e5%ba%95%e6%94%bb%e7%95%a5-%ef%bd%9e-2/ --パフォーマンス計測編~ http://sophiakunii.wordpress.com/2013/10/07/%e3%80%90101%e3%82%b7%e3%83%aa%e3%83%bc%e3%82%ba%e3%80%91%e3%83%91%e3%83%95%e3%82%a9%e3%83%bc%e3%83%9e%e3%83%b3%e3%82%b9%e3%83%a2%e3%83%8b%e3%82%bf%e5%be%b9%e5%ba%95%e6%94%bb%e7%95%a5-%ef%bd%9e-3/ 以下は、簡単な要約。~ -監視範囲はパフォーマンス・オブジェクト、インスタンスで指定可能。 -平均カウンタ(/sec)、積算値カウンタ(Total)は異なるので注意。 -カウンタは沢山ありますので実機確認ください。~ (OSのバージョンによっても使用できるカウンタが異なるため) **タスク・マネージャ(ネットワーク・タブ) [#s13d8cf4] **システム基盤・ミドルウェア [#i36bbbd0] SNMPでネットワーク機器から情報を収集するタイプのものなどがあるようです。~ -ネットワーク管理 OpManager > トラフィック監視~ http://www.manageengine.jp/products/OpManager/network-performance-management.html#traffic-monitoring **上記以外の上記以外のフリーツール [#c4d8bff9] ***TCP Monitor Plus [#c668ceaa] メジャーなソフトであるようです。 -トラフィックモニターの詳細説明 - TCP Monitor Plus~ http://hp.vector.co.jp/authors/VA032928/traffic.html ***HTTPデバッグ・プロキシ Fiddler [#w11d3ad2] HTTPデバッグ・プロキシ Fiddlerの使い方については下記を参照下さい。 -Webセキュリティの小部屋 --Fiddler とは~ http://www.websec-room.com/2013/02/21/122 --Fiddler のインストール~ http://www.websec-room.com/2013/02/21/134 --Fiddler の簡単な使い方~ http://www.websec-room.com/2013/02/21/143 --Fiddler でリクエストパラメーターを改ざんする方法~ http://www.websec-room.com/2013/08/10/961 -SST 株式会社セキュアスカイ・テクノロジー~ SSTなるほど!コーナー 07 Fiddler の少し便利な使い方~ https://www.securesky-tech.com/column/naruhodo/07.html --HTTP通信のキャプチャ --HTTPSの通信をキャプチャする --リクエストの内容を書き換える --リクエストを編集して再送する --特定のブラウザからの通信だけをキャプチャする --スマートフォンの通信をキャプチャする -Fiddler を使って HTTPS トラフィックを確認する | idea.toString();~ http://idea.tostring.jp/?p=1077 -HTTPのパケットを確認したり、書き換える事が出来る~ Web Debugging Proxy「Fiddler」の勉強会に行って来ました - 強火で進め~ http://d.hatena.ne.jp/nakamura001/20141025/1414235842 *参考 [#ya7a99e3] **プロミスキャス・モード [#u1adeac2] -イーサネットのNICなどにおいて、 --自ノード宛てだけではなく、 --イーサネット上を流れているすべての >フレーム・パケットを取り込むという動作モード。 -フレーム・パケットをキャプチャして解析する~ ネットワーク型IDS、RMON、パケット キャプチャ ツールなどで利用される。 -プロミスキャス・モードで動作するパケット キャプチャ ツールは、 --流れるパケットの内容すべてを見ることができるため、~ --他のノード宛ての通信内容も参照でき、技術的にも盗聴と同様の動作になる。 -このため、プロミスキャス・モードを利用するためには~ 特権レベル(Administrator)の権限が必要となっているOS・ツールが多い。 ---- Tags: [[:通信技術]], [[:障害対応]], [[:性能]], [[:デバッグ]], [[:Windows]]