ベストセラー書の改訂第2版。前半はWiresharkのリファレンスです。Wiresharkのさまざまな機能や活用テクニックについて解説します。後半はパケット解析の実践的な教科書です。TCP/IPの主要なプロトコルを解析する方法や、ネットワーク遅延をはじめとしたさまざまなトラブルの解決方法を、実際に取得したパケット情報の実例を使って詳しく解説します。日本語版ではTCP/IP以外のパケット解析、具体的にはUSBポートを流れるデータのパケット解析についての解説と、pcap-ng形式 ←→ pcap形式のデータ変換についての解説を巻末付録として追加しました。Wireshark 1.8対応。
実践 パケット解析 第2版
―Wiresharkを使ったトラブルシューティング
Chris Sanders 著、高橋 基信、宮本 久仁男 監訳、岡 真由美 訳
- TOPICS
- Web , Security , System/Network
- 発行年月日
- 2012年11月
- PRINT LENGTH
- 308
- ISBN
- 978-4-87311-569-6
- 原書
- Practical Packet Analysis, 2nd Edition
- FORMAT
関連ファイル
目次
目次 監訳者まえがき 賞賛の声 まえがき 1章 パケット解析とネットワークの基礎 1.1 パケット解析とパケットキャプチャツール 1.1.1 パケットキャプチャツールの評価 1.1.2 パケットキャプチャツールの仕組み 1.2 コンピュータはどのように通信するのか 1.2.1 プロトコル 1.2.2 OSI参照モデル 1.2.3 データのカプセル化 1.2.4 ネットワークハードウェア 1.3 トラフィックの分類 1.3.1 ブロードキャスト 1.3.2 マルチキャスト 1.3.3 ユニキャスト 1.4 まとめ 2章 ケーブルに潜入する 2.1 プロミスキャスモードの使用 2.2 ハブで構成されたネットワークでのキャプチャ 2.3 スイッチで構成されたネットワークでのキャプチャ 2.3.1 ポートミラーリング 2.3.2 ハブの使用 2.3.3 タップの使用 2.3.4 ARPキャッシュポイゾニング 2.4 ルータで構成されたネットワークでのキャプチャ 2.5 パケットキャプチャツールを実際に設置する 3章 Wireshark概要 3.1 Wiresharkの歴史 3.2 Wiresharkの利点 3.3 Wiresharkのインストール 3.3.1 Windowsでのインストール 3.3.2 Linuxでのインストール 3.3.3 Mac OS Xでのインストール 3.4 Wiresharkの基本 3.4.1 はじめてのパケットキャプチャ 3.4.2 Wiresharkのメインウィンドウ 3.4.3 Wiresharkの設定画面 3.4.4 パケットの色分け 4章 Wiresharkでのパケットキャプチャのテクニック 4.1 キャプチャファイルの操作 4.1.1 キャプチャファイルの保存とエクスポート 4.1.2 キャプチャファイルのマージ 4.2 パケットの操作 4.2.1 パケットの検索 4.2.2 パケットのマーキング 4.2.3 パケットの印刷 4.3 時刻の表示形式と基準時刻表示 4.3.1 時刻の表示形式 4.3.2 基準時刻表示 4.4 キャプチャオプションの設定 4.4.1 Capture設定 4.4.2 Capture File(s)設定 4.4.3 Stop Capture設定 4.4.4 Display Options設定 4.4.5 Name Resolution設定 4.5 フィルタを使う 4.5.1 キャプチャフィルタ 4.5.2 ディスプレイフィルタ 4.5.3 フィルタの保存 5章 Wiresharkの高度な機能 5.1 ネットワークのエンドポイントと対話 5.1.1 エンドポイントを参照する 5.1.2 ネットワークの対話を見る 5.1.3 [Endpoints]と[Conversations]ダイアログを用いたトラブルシューティング 5.2 プロトコル階層統計 5.3 名前解決 5.3.1 名前解決を有効にする 5.3.2 名前解決の欠点 5.4 プロトコル分析機構 5.4.1 分析機構の変更 5.4.2 分析機構のソースコードを見る 5.5 TCPストリームの表示 5.6 パケット長 5.7 グラフ表示 5.7.1 IOグラフを見る 5.7.2 ラウンドトリップタイムグラフ 5.7.3 フローグラフ 5.8 エキスパート情報 6章 知っておきたい下位層プロトコル 6.1 ARP(Address Resolution Protocol) 6.1.1 ARPヘッダ 6.1.2 パケット1:ARPリクエスト 6.1.3 パケット2:ARPレスポンス 6.1.4 gratuitous ARP 6.2 IP(Internet Protocol) 6.2.1 IPアドレス 6.2.2 IPv4ヘッダ 6.2.3 生存時間(TTL) 6.2.4 IPフラグメンテーション(断片化) 6.3 TCP 6.3.1 TCPヘッダ 6.3.2 TCPポート 6.3.3 TCPの3ウェイハンドシェイク 6.3.4 TCPのティアダウン(切断) 6.3.5 TCPリセット 6.4 UDP 6.4.1 UDPヘッダ 6.5 ICMP 6.5.1 ICMPヘッダ 6.5.2 ICMPのタイプとコード 6.5.3 エコー要求とエコー応答 6.5.4 traceroute 7章 知っておきたい上位層プロトコル 7.1 DHCP 7.1.1 DHCPパケットの構造 7.1.2 DHCP更新処理 7.1.3 DHCPのリース更新 7.1.4 DHCPオプションとメッセージタイプ 7.2 DNS 7.2.1 DNSパケットの構造 7.2.2 単純なDNSクエリ 7.2.3 DNSの問い合わせタイプ 7.2.4 DNSの再帰 7.2.5 DNSゾーン転送 7.3 HTTP 7.3.1 HTTPでブラウズする 7.3.2 HTTPでデータをアップロードする 7.4 まとめ 8章 現実世界のシナリオの第一歩 8.1 パケットレベルでのSNSの分析 8.1.1 Twitterトラフィックのキャプチャ 8.1.2 Facebookトラフィックをキャプチャする 8.1.3 TwitterとFacebookの比較 8.2 ESPN.comのトラフィックをキャプチャする 8.2.1 [Conversations]ダイアログの利用 8.2.2 [Protocol Hierarchy Statistics]ダイアログの利用 8.2.3 DNSトラフィックを参照する 8.2.4 HTTPリクエストを見る 8.3 現場でのトラブル 8.3.1 インターネットに接続できない:設定ミス 8.3.2 インターネットに接続できない:不適切なリダイレクト 8.3.3 インターネットに接続できない:外部の問題 8.3.4 不安定なプリンタ 8.3.5 孤立する支社 8.3.6 イライラする開発者 8.4 まとめ 9章 ネットワークの遅延と戦う 9.1 TCPのエラーリカバリ機能 9.1.1 TCP再送 9.1.2 重複ACKと高速再送 9.2 TCPのフロー制御 9.2.1 ウィンドウサイズの調整 9.2.2 ゼロウィンドウ通知によるデータフローの一時停止 9.2.3 TCPスライディングウィンドウの実例 9.3 TCPエラー制御とフロー制御パケット 9.4 高遅延の原因を突き止める 9.4.1 正常な通信 9.4.2 通信の遅延:回線遅延 9.4.3 通信の遅延:クライアントの遅延 9.4.4 通信の遅延:サーバの遅延 9.4.5 遅延を見つけるフレームワーク 9.5 ネットワークベースラインの確立 9.5.1 サイトのベースライン 9.5.2 ホストベースライン 9.5.3 アプリケーションベースライン 9.5.4 ベースラインについての追記 9.6 まとめ 10章 セキュリティとパケット解析 10.1 偵察 10.1.1 SYNスキャン 10.1.2 OSフィンガープリント 10.2 侵入 10.2.1 Operation Aurora 10.2.2 ARPキャッシュポイゾニング 10.2.3 リモートアクセス型のトロイの木馬 10.3 まとめ 11章 無線LANのパケット解析 11.1 物理面での考察 11.1.1 一度に1つのチャンネルをキャプチャする 11.1.2 無線LANの電波干渉 11.1.3 電波干渉を検出、解析する 11.2 無線LANカードのモード 11.3 Windows上での無線LANのパケットキャプチャ 11.3.1 AirPcapの設定 11.3.2 AirPcapを使ったパケットキャプチャ 11.4 Linux上での無線LANのパケットキャプチャ 11.5 802.11のパケット構造 11.6 [Packet List]ペインに無線LANの情報を追加する 11.7 無線LAN特有のフィルタ 11.7.1 特定のBSSIDでフィルタリング 11.7.2 パケット別のフィルタリング 11.7.3 周波数によるフィルタ 11.8 無線LANのセキュリティ 11.8.1 WEP認証の成功 11.8.2 WEP認証の失敗 11.8.3 WPA認証の成功 11.8.4 WPA認証の失敗 11.9 まとめ 付録A USBポートの通信キャプチャ A.1 LinuxマシンにつなげたUSBデバイスとの通信をキャプチャする A.1.1 Wiresharkをインストールする A.1.2 USBデバイスをつなげる A.1.3 Wiresharkを起動し、USBインターフェイスを選択する A.1.4 キャプチャ結果の確認 A.1.5 ほかのLinux環境でキャプチャするには A.2 Windowsで認識したUSBデバイスのI/Oをモニターする A.2.1 VirtualBoxをインストールする A.2.2 ユーザーを追加する A.2.3 ホストOSを再起動する A.2.4 VirtualBoxから認識させたいUSBデバイスをつなげる A.2.5 VirtualBoxを起動し、当該デバイスをVirtualBox上から使えるようにする A.2.6 WindowsとWiresharkを起動し、対象となるポートを選択してキャプチャを行う A.2.7 キャプチャ結果 A.3 まとめ A.4 参考文献 付録B pcap-ng形式←→pcap形式のデータ変換 B.1 pcap形式とpcap-ng形式の概要 B.2 pcapとpcap-ngでデータ変換が必要な理由 B.3 変換方法 B.3.1 pcap形式 → pcap-ng形式 B.3.2 pcap-ng形式 → pcap形式 B.3.3 pcapやpcap-ngのファイルサイズが巨大になる場合 B.4 参考文献 付録C 推薦文献 C.1 パケット解析ツール C.1.1 tcpdumpとWindump C.1.2 Cain & Abel C.1.3 Scapy C.1.4 Netdude C.1.5 Colasoft Packet Builder C.1.6 CloudShark C.1.7 pcapr C.1.8 NetworkMiner C.1.9 Tcpreplay C.1.10 ngrep C.1.11 libpcap C.1.12 hping C.1.13 Domain Dossier C.1.14 PerlとPython C.2 パケット解析に役立つ情報源 C.2.1 Wiresharkホームページ C.2.2 SANS Security Intrusion Detection In-Depth Course C.2.3 Chris Sandersのブログ C.2.4 Packetstanブログ C.2.5 Wireshark University C.2.6 IANA C.2.7 TCP/IP Illustrated(Addison-Wesley) C.2.8 The TCP/IP Guide(No Starch Press) 索引 コラム目次 「本物の」ハブを見つける ネットワークマップ