アクセラと+αな生活
アクセラとα350と共に過ごす気まぐれ日記です。
Firefox ブラウザ無料ダウンロード
2017年09月
≪08月  1  2  3  4  5  6  7  8  9  10  11  12  13  14  15  16  17  18  19  20  21  22  23  24  25  26  27  28  29  30    10月≫
スポンサーサイト
上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。
tcpdump とはネットワーク上で流れるデータをモニター(監視)するツールです。
普通は使わないツールですねww

ネットワークがつながらないなどであれば、ping や nslookup でほとんど原因は分かるし、ダンプまで取得することは稀ですからね。

今回は rsh でのエラーの情報取得のため、tcpdump でネットワーク調査を行いました。

rsh やssh など、ネットワーク越しに接続する場合、実際にパケットが届いているかを確認できる tcpdump はパケットレベルの疎通確認に有効です。


tcpdump のセットアップは「apt」で行います。


# apt-get update

~ 略 ~

# apt-get install tcpdump
パッケージリストを読みこんでいます... 完了
依存情報ツリーを作成しています... 完了
以下のパッケージが新たにインストールされます:
tcpdump
アップグレード: 0 個, 新規インストール: 1 個, 削除: 0 個, 保留: 0 個
337kB のアーカイブを取得する必要があります。
展開後に 665kB のディスク容量が追加消費されます。
取得:1 http://updates.vinelinux.org 5.0/i386/plus tcpdump 1:4.0.0-2vl5 [337kB]
337kB を 1s 秒で取得しました (234kB/s)
変更を適用しています...
準備中 ############################## [100%]
更新/インストール中
tcpdump-4.0.0-2vl5.i386 ############################## [100%]
完了


ためしに「rsh」を実行しているときに tcpdump を取得してみます。

# tcpdump

~ 略 ~

hh:mm:ss.622764 IP【RSH クライアント】.1023 > 【RSH サーバ】 .shell: Flags [S], seq 4015976592, win 5840,【 略 】
hh:mm:ss.622865 IP【RSH サーバ】 .shell> 【RSH クライアント】.1023 : Flags [S.], seq 662730521, ack 4015976593, win 5792,【 略 】
hh:mm:ss.624322 IP【RSH クライアント】.1023 > 【RSH サーバ】 .shell: Flags [.], ack 1, win 1460, 【 略 】
hh:mm:ss.632443 IP【RSH サーバ】 .48159> 【RSH クライアント】.auth : Flags [S], seq 663767202, win 5840,【 略 】
hh:mm:ss.642896 IP【RSH クライアント】 > 【RSH サーバ】 : ICMP host 【RSH クライアント】 unreachable - admin prohibited, length 68
hh:mm:ss.664931 IP【RSH クライアント】.1023 > 【RSH サーバ】 .shell: Flags [P.], ack 1, win 1460,【 略 】
hh:mm:ss.665135 IP【RSH サーバ】 .shell> 【RSH クライアント】.1023 : Flags [.], ack 6, win 91,【 略 】
hh:mm:ss.684796 IP【RSH サーバ】 .1023 > 【RSH クライアント】.exp2 : Flags [S], seq 667430057, win 5840,【 略 】
hh:mm:ss.686006 IP【RSH クライアント】.exp2 > 【RSH サーバ】 .1023 : Flags [S.], seq 4024107980, ack 667430058, win 5792,【 略 】
hh:mm:ss.686240 IP【RSH サーバ】 .1023 > 【RSH クライアント】.exp2 : Flags [.], ack 1, win 92,【 略 】
hh:mm:ss.688454 IP【RSH クライアント】.1023 > 【RSH サーバ】 .shell: Flags [P.], ack 1, win 1460,【 略 】
hh:mm:ss.688896 IP【RSH サーバ】 .shell> 【RSH クライアント】.1023 : Flags [.], ack 22, win 91,【 略 】
hh:mm:ss.801819 IP【RSH サーバ】 .shell> 【RSH クライアント】.1023 : Flags [P.], ack 22, win 91,【 略 】
hh:mm:ss.806731 IP【RSH クライアント】.1023 > 【RSH サーバ】 .shell: Flags [.], ack 2, win 1460,【 略 】
hh:mm:ss.929086 IP【RSH サーバ】 .shell> 【RSH クライアント】.1023 : Flags [P.], ack 22, win 91, 【 略 】
hh:mm:ss.933847 IP【RSH クライアント】.1023 > 【RSH サーバ】 .shell: Flags [.], ack 861, win 1890,【 略 】
hh:mm:ss.943249 IP【RSH サーバ】 .1023 > 【RSH クライアント】.exp2 : Flags [F.], seq 1, ack 1, win 92,【 略 】
hh:mm:ss.946744 IP【RSH クライアント】.exp2 > 【RSH サーバ】 .1023 : Flags [.], ack 2, win 1448,【 略 】
hh:mm:ss.957929 IP【RSH サーバ】 .shell> 【RSH クライアント】.1023 : Flags [F.], seq 861, ack 22, win 91,【 略 】
hh:mm:ss.976717 IP【RSH クライアント】.exp2 > 【RSH サーバ】 .1023 : Flags [F.], seq 1, ack 2, win 1448,【 略 】
hh:mm:ss.976794 IP【RSH サーバ】 .1023 > 【RSH クライアント】.exp2 : Flags [.], ack 2, win 92,【 略 】
hh:mm:ss.983331 IP【RSH クライアント】.1023 > 【RSH サーバ】 .shell: Flags [F.], seq 22, ack 862, win 1890,【 略 】
hh:mm:ss.984641 IP【RSH サーバ】 .shell> 【RSH クライアント】.1023 : Flags [.], ack 23, win 91, options【 略 】

そのままでは、見にくいので、加工しています。

解析はちょっと専門的な知識(たぶん、本が1冊書ける)が必要なので、詳細は割愛しますが、以下のSEQ、ACK、WINは知っておくと、何となく何のデータを送受信しているかが分かるかもしれません。

○SEQ
 TCP はデータの順序をバイト単位の番号で管理し、その管理で使用されるのが、シーケンス番号(SEQ)になります。

○ACK
 TCPではデータ整合性をとるため、一連のデータにおけるシーケンス番号の最大値を ACK 番号(ACK)として管理し、データ欠如がないかの確認で使用します。

○WIN
 一度に受信可能なデータサイズの最大値(バイト単位)を伝えるためにウィンドウサイズ(WIN)で管理し、一度に送受信を行うデータ量の調整を行います。

データ送信元、送信先は1行目を簡単に説明すると、
 【RSH クライアント】の1023番ポートから、 【RSH サーバ】のshellポートへデータ送信している
というように見ることができます。



tcpdump はオプションで実際のデータ自体を見ることもできてしまいます。
つまり、ネットワーク上の生データを見れてしまいます。。。ということです。

データを直接表示させるオプションなどの説明は割愛します。
簡単にデータを見てしまうのは、この tcpdump というツールの危険性を把握した上で利用して欲しいからです。

ssh であれば、暗号化されたデータが流れているのが見れるでしょう。
telnet であれば、キーだけでなく、パスワードもそのまま流れているのが分かってしまいます。。。

ネットワーク上のデータを見ることができるので、使い方によっては非常に危険なツールといえます。

※TCPに関しては、「RFC793」を見れば、なんとなく分かるようになるでしょうww


コメント
この記事へのコメント
URL :
コメント :
パスワード :
管理者にだけ表示を許可する
 
トラックバック
この記事のトラックバックURL
Template designed by アクセラと+αな生活

Powered by .
上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。