定番書の改訂第3版。TSharkについての詳しい解説が追加されたほか、大幅な加筆・修正が全編にわたって行われています。本書ではWiresharkで実際に取得したパケット情報の実例を使って問題やトラブルの解析方法を詳しく解説します。パケットのキャプチャファイルはWebからダウンロードでき、初心者も実際に試しながら理解を深めることができるので、ネットワーク管理の初心者に好適です。日本語版ではWin10PcapやUSBPcapについての解説を巻末付録として収録しました。Wireshark 2.x対応。
実践 パケット解析 第3版
―Wiresharkを使ったトラブルシューティング
Chris Sanders 著、髙橋 基信、宮本 久仁男 監訳、岡 真由美 訳
- TOPICS
- Security
- 発行年月日
- 2018年06月
- PRINT LENGTH
- 424
- ISBN
- 978-4-87311-844-4
- 原書
- Practical Packet Analysis, 3E
- FORMAT
- Print PDF EPUB
関連ファイル
正誤表
ここで紹介する正誤表には、書籍発行後に気づいた誤植や更新された情報を掲載しています。以下のリストに記載の年月は、正誤表を作成し、増刷書籍を印刷した月です。お手持ちの書籍では、すでに修正が施されている場合がありますので、書籍最終ページの奥付でお手持ちの書籍の刷版、刷り年月日をご確認の上、ご利用ください。
正誤表 - 2021年11月掲載(3刷で修正予定)
■2章 P.32 L.22
- 【誤】パケットは「MACアドレス xx:xx:xx:xx:xx:xx を所有するIPアドレスは?」と質問しているわけです。
- 【正】パケットは「IPアドレス xx.xx.xx.xx を持つ機器のMACアドレスは?」と質問しているわけです。
目次
賞賛の声 監訳者まえがき まえがき 1章 パケット解析とネットワークの基礎 1.1 パケット解析とパケットキャプチャツール 1.1.1 パケットキャプチャツールの評価 1.1.2 パケットキャプチャツールの仕組み 1.2 コンピュータはどのように通信するのか 1.2.1 プロトコル 1.2.2 7層のOSI参照モデル 1.2.3 ネットワークハードウェア 1.3 トラフィックの分類 1.3.1 ブロードキャスト 1.3.2 マルチキャスト 1.3.3 ユニキャスト 1.4 まとめ 2章 ケーブルに潜入する 2.1 プロミスキャスモードの使用 2.2 ハブで構成されたネットワークでのキャプチャ 2.3 スイッチで構成されたネットワークでのキャプチャ 2.3.1 ポートミラーリング 2.3.2 ハブの使用 2.3.3 タップの使用 2.3.4 ARPキャッシュポイゾニング 2.4 ルータで構成されたネットワークでのキャプチャ 2.5 パケットキャプチャツールを実際に設置する 3章 Wiresharkの概要 3.1 Wiresharkの歴史 3.2 Wiresharkの利点 3.3 Wiresharkのインストール 3.3.1 Windowsでのインストール 3.3.2 Linuxでのインストール 3.3.3 macOSシステムでのインストール 3.4 Wiresharkの基本 3.4.1 初めてのパケットキャプチャ 3.4.2 Wiresharkのメインウィンドウ 3.4.3 Wiresharkの設定画面 3.4.4 パケットの色分け 3.5 ファイルの設定 3.6 プロファイルの設定 4章 Wiresharkでのパケットキャプチャのテクニック 4.1 キャプチャファイルの操作 4.1.1 キャプチャファイルの保存とエクスポート 4.1.2 キャプチャファイルのマージ 4.2 パケットの操作 4.2.1 パケットの検索 4.2.2 パケットのマーキング 4.2.3 パケットの印刷 4.3 時刻の表示形式と基準時刻表示 4.3.1 時刻の表示形式 4.3.2 時間参照 4.3.3 時間調整 4.4 キャプチャオプションの設定 4.4.1 [Input(入力)]タブ 4.4.2 [Output(出力)]タブ 4.4.3 [Options(オプション)]タブ 4.5 フィルタを使う 4.5.1 キャプチャフィルタ 4.5.2 表示フィルタ 4.5.3 フィルタの保存 4.5.4 表示フィルタのツールバーへの追加 5章 Wiresharkの高度な機能 5.1 ネットワークのエンドポイントと対話 5.1.1 エンドポイントの統計を見る 5.1.2 ネットワークの対話を見る 5.1.3 エンドポイントと対話から通信量が多い機器を識別 5.2 プロトコル階層統計 5.3 名前解決 5.3.1 名前解決を有効にする 5.3.2 名前解決の欠点 5.3.3 専用のhostsファイルを使う 5.3.4 名前解決を手動で行う 5.4 プロトコル分析機構 5.4.1 分析機構の変更 5.4.2 分析機構のソースコードを見る 5.5 ストリームの表示 5.5.1 SSLストリームの表示 5.6 パケット長 5.7 グラフ表示 5.7.1 IOグラフを見る 5.7.2 往復遅延時間(ラウンドトリップタイム)グラフ 5.7.3 フローグラフ 5.8 エキスパート情報 6章 コマンドラインでのパケット解析 6.1 TSharkをインストールする 6.2 tcpdumpをインストールする 6.3 パケットをキャプチャし保存する 6.4 出力を操作する 6.5 名前解決 6.6 フィルタを使う 6.7 TSharkの時刻表示形式 6.8 TSharkの統計機能 6.9 TSharkとtcpdumpの違い 7章 ネットワーク層プロトコル 7.1 ARP(Address Resolution Protocol) 7.1.1 ARPパケットの構造 7.1.2 パケット1:ARPリクエスト 7.1.3 パケット2:ARPレスポンス 7.1.4 gratuitous ARP 7.2 IP(Internet Protocol) 7.2.1 IPv4(インターネット・プロトコル・バージョン4) 7.2.2 IPv6(インターネット・プロトコル・バージョン6) 7.3 ICMP 7.3.1 ICMPパケットの構造 7.3.2 ICMPのタイプとコード 7.3.3 エコー要求とエコー応答 7.3.4 traceroute 7.3.5 ICMPv6 8章 トランスポート層プロトコル 8.1 TCP 8.1.1 TCPパケットの構造 8.1.2 TCPポート 8.1.3 TCPの3ウェイハンドシェイク 8.1.4 TCPのティアダウン(切断) 8.1.5 TCPリセット 8.2 UDP 8.2.1 UDPパケットの構造 9章 知っておきたい上位層プロトコル 9.1 DHCP 9.1.1 DHCPパケットの構造 9.1.2 DHCP更新処理 9.1.3 DHCPのリース更新 9.1.4 DHCPオプションとメッセージタイプ 9.1.5 DHCPv6 9.2 DNS 9.2.1 DNSパケットの構造 9.2.2 単純なDNSクエリ 9.2.3 DNSの問い合わせタイプ 9.2.4 DNSの再帰 9.2.5 DNSゾーン転送 9.3 HTTP 9.3.1 HTTPでブラウズする 9.3.2 HTTPでデータをアップロードする 9.4 SMTP 9.4.1 メールの送受信 9.4.2 メールの追跡 9.4.3 SMTPで添付ファイルを送る 9.5 まとめ 10章 現場に即したシナリオの第一歩 10.1 Webコンテンツが表示されない 10.1.1 ケーブルへの潜入 10.1.2 パケット解析 10.1.3 学んだこと 10.2 応答しない天気予報サービス 10.2.1 ケーブルへの潜入 10.2.2 パケット解析 10.2.3 学んだこと 10.3 インターネットに接続できない 10.3.1 ゲートウェイ設定問題 10.3.2 不適切なリダイレクト 10.3.3 外部の問題 10.4 不安定なプリンタ 10.4.1 ケーブルへの潜入 10.4.2 パケット解析 10.4.3 学んだこと 10.5 孤立する支社 10.5.1 ケーブルへの潜入 10.5.2 パケット解析 10.5.3 学んだこと 10.6 ソフトウェアデータの破損 10.6.1 ケーブルへの潜入 10.6.2 パケット解析 10.6.3 学んだこと 10.7 まとめ 11章 ネットワークの遅延と戦う 11.1 TCPのエラーリカバリ機能 11.1.1 TCP再送 11.1.2 重複ACKと高速再送 11.2 TCPのフロー制御 11.2.1 ウィンドウサイズの調整 11.2.2 ゼロウィンドウ通知によるデータフローの一時停止 11.2.3 TCPスライディングウィンドウの実例 11.3 TCPエラー制御とフロー制御パケット 11.4 高遅延の原因を突き止める 11.4.1 正常な通信 11.4.2 通信の遅延:回線遅延 11.4.3 通信の遅延:クライアントの遅延 11.4.4 通信の遅延:サーバの遅延 11.4.5 遅延を見つけるフレームワーク 11.5 ネットワークベースラインの確立 11.5.1 サイトのベースライン 11.5.2 ホストベースライン 11.5.3 アプリケーションベースライン 11.5.4 ベースラインについての追記 11.6 まとめ 12章 セキュリティ問題とパケット解析 12.1 偵察 12.1.1 SYNスキャン 12.1.2 OSフィンガープリント 12.2 トラフィック操作 12.2.1 ARPキャッシュポイゾニング 12.2.2 セッションハイジャック 12.3 マルウェア 12.3.1 Operation Aurora 12.3.2 リモートアクセス型のトロイの木馬 12.4 エクスプロイトキットとランサムウェア 12.5 まとめ 13章 無線LANのパケット解析 13.1 物理面での考察 13.1.1 一度に1つのチャンネルをキャプチャする 13.1.2 無線LANの電波干渉 13.1.3 電波干渉を検出、解析する 13.2 無線LANカードのモード 13.3 Windows上での無線LANのパケットキャプチャ 13.3.1 AirPcapの設定 13.3.2 AirPcapを使ったパケットキャプチャ 13.4 Linux上での無線LANのパケットキャプチャ 13.5 802.11パケットの構造 13.6 [Packet List(パケット一覧)]ペインに無線LANの情報を追加する 13.7 無線LAN特有のフィルタ 13.7.1 特定のBSSIDでフィルタリング 13.7.2 パケット別のフィルタリング 13.7.3 周波数によるフィルタ 13.8 無線LANプロファイルの保存 13.9 無線LANのセキュリティ 13.9.1 WEP認証の成功 13.9.2 WEP認証の失敗 13.9.3 WPA認証の成功 13.9.4 WPA認証の失敗 13.10 まとめ 付録A 推薦文献 A.1 パケット解析ツール A.1.1 CloudShark A.1.2 WireEdit A.1.3 Cain & Abel A.1.4 Scapy A.1.5 TraceWrangler A.1.6 Tcpreplay A.1.7 NetworkMiner A.1.8 CapTipper A.1.9 ngrep A.1.10 libpcap A.1.11 Npcap A.1.12 hping A.1.13 Python A.2 パケット解析に役立つ情報源 A.2.1 Wiresharkホームページ A.2.2 Practical Packet Analysisオンラインコース A.2.3 SANS Security Intrusion Detection In-Depth Course A.2.4 Chris Sandersのブログ A.2.5 Brad DuncanのMalware Traffic Analysis A.2.6 IANAのWebサイト A.2.7 W. Richard Stevenの『TCP/IP Illustrated』シリーズ A.2.8 『The TCP/IP Guide』(No Starch Press) 付録B パケットを知る B.1 パケット表示 B.2 パケット構造図の利用 B.3 謎のパケットを調べる B.4 まとめ 付録C Win10Pcap−WinPcap強化版ドライバの紹介 C.1 Win10Pcapとは何か C.1.1 Win10Pcapの概要 C.1.2 Win10Pcapの入手 C.1.3 WinPcapの問題点 C.2 Win10Pcapのインストールから利用まで C.3 WinPcapとの共存 付録D USBPcapを用いたUSBインターフェース通信のキャプチャ D.1 USBPcap概要 D.2 USBデバイスの通信データキャプチャを行うための従来手法と課題 D.3 USBPcapのインストール方法 D.4 解析方法1:WiresharkからUSBPcapを呼び出す D.5 解析方法2:USBPcapCMD.exeでキャプチャする D.6 まとめ 索引 コラム目次 「本物の」ハブを見つける ネットワークマップ WHOIS検索でIPアドレスの所有者を判断する