連載
» 2010年06月28日 00時00分 公開

セキュリティ・ダークナイト(4):パケットキャプチャ術で秘密もちょっぴりこぼれた? (2/5)

[辻 伸弘(ソフトバンク・テクノロジー株式会社),@IT]

出力関連のオプション

 では、まず出力関連のオプションを見てみよう。

オプション 説明
-w <FILE> キャプチャしたパケットの記録を保存するファイル名を指定(画面出力なし)
-S [-w]指定時でも画面出力ありにする
-V パケットツリー表示を追加
-x HEX(16進)、ASCIIダンプ表示を追加

 -wで、キャプチャしたパケットを保存することができる。

# tshark -i 5 -w output1

と実行すると、「5番のNICでキャプチャしたパケットをoutputという名前のファイル」に書き出せる。

 実行してみれば分かるが、上記のように「-w」のみだとパケット数がカウントされるだけで、画面にパケットの情報が出力されない。

図7 -wの実行結果は、パケットのカウント数が表示されているのみだ 図7 -wの実行結果は、パケットのカウント数が表示されているのみだ

 保存しながら、画面にも表示させたい場合は、

# tshark -i 5 -S -w output1

のように「-S」を追加することで可能である。

図8 -Sでパケットの内容を画面にも表示 図8 -Sでパケットの内容を画面にも表示

 また、「-V」を付加することでパケットツリーを表示し、詳細な情報を表示することができ、「-x」を付加することで16進数(HEX)とASCIIダンプ表示を追加することが可能である。

図9 -Vでパケットツリーを表示する 図9 -Vでパケットツリーを表示する
図10 -xで16進表示する 図10 -xで16進表示する

キャプチャ停止の条件を指定する

 次は、キャプチャを止めるタイミングを指定しよう。

オプション 説明
-a <cond>
duration:N 指定した秒数経過で停止
filesize:N 指定したファイルサイズ(Kbytes)に達したら停止
files:N 指定した保存ファイル数に達したら停止
-c <count> 指定したパケット数をキャプチャすると停止

 「-a」と、後述する「-b」を使うと、細やかなキャプチャの停止条件を指定できる。「-a」の場合は、値にどのような状態に対していくつといった指定の方法を行う。例えば、1分間(60秒)のキャプチャを行って停止したい場合は以下のように指定する。

# tshark -i N -a duration:60   (Nは自身の環境のNIC番号)

また、保存ファイル名「output_file」が1MB(1000KBとした場合)のキャプチャファイルサイズに達したらキャプチャを停止するには 、

# tshark -i N -a filesize:1000 -w output_file   (Nは自身の環境のNIC番号)

とすればよい。

 「-c」については非常に単純明快である。指定した値と同じパケット数をキャプチャした時点で停止する。キャプチャが問題なく行われているかの確認で、少ないパケットカウントを指定するといった使い方でもいいだろう。

 筆者はペネトレーションテストでポートスキャンを行う際に、現在スキャンしているポートは何番かを確認するためにこのオプションをよく使用している。

【例】
筆者がペネトレーションテスト中によく利用するコマンドと確認方法

# nmap -r -n -sS -PN -p1-65535 xxx.xxx.xxx.xxx

 「-r」でスキャンするポート番号を昇順にし、以下のようなオプションを指定することで現在スキャンを行っているポートを確認する。

# tshark -i N -c 20

 これにより進ちょく情報を把握し、スキャンに要するおおよその時間を計る(適宜、フィルタオプションを追加することがある。フィルタに関しては後述する)


Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。