実践 パケット解析 第3版
――Wiresharkを使ったトラブルシューティング

[cover photo]
  • 2018年06月 発行
  • 424ページ
  • ISBN978-4-87311-844-4
  • フォーマット Print PDF ePub mobi
  • 原書: Practical Packet Analysis, 3E

オライリー・ジャパンで書籍を購入:
定価3,456円

Ebook Storeで電子版を購入:
価格2,765円

定番書の改訂第3版。TSharkについての詳しい解説が追加されたほか、大幅な加筆・修正が全編にわたって行われています。本書ではWiresharkで実際に取得したパケット情報の実例を使って問題やトラブルの解析方法を詳しく解説します。パケットのキャプチャファイルはWebからダウンロードでき、初心者も実際に試しながら理解を深めることができるので、ネットワーク管理の初心者に好適です。日本語版ではWin10PcapやUSBPcapについての解説を巻末付録として収録しました。Wireshark 2.x対応。

関連書籍

Hacking:美しき策謀 第2版
アナライジング・マルウェア
カーハッカーズ・ハンドブック
サイバーセキュリティプログラミング
詳解 システム・パフォーマンス
詳説 イーサネット 第2版
実践 Metasploit
データ分析によるネットワークセキュリティ

賞賛の声
監訳者まえがき
まえがき

1章 パケット解析とネットワークの基礎
    1.1 パケット解析とパケットキャプチャツール
        1.1.1 パケットキャプチャツールの評価
        1.1.2 パケットキャプチャツールの仕組み
    1.2 コンピュータはどのように通信するのか
        1.2.1 プロトコル
        1.2.2 7層のOSI参照モデル
        1.2.3 ネットワークハードウェア
    1.3 トラフィックの分類
        1.3.1 ブロードキャスト
        1.3.2 マルチキャスト
        1.3.3 ユニキャスト
    1.4 まとめ

2章 ケーブルに潜入する
    2.1 プロミスキャスモードの使用
    2.2 ハブで構成されたネットワークでのキャプチャ
    2.3 スイッチで構成されたネットワークでのキャプチャ
        2.3.1 ポートミラーリング
        2.3.2 ハブの使用
        2.3.3 タップの使用
        2.3.4 ARPキャッシュポイゾニング
    2.4 ルータで構成されたネットワークでのキャプチャ
    2.5 パケットキャプチャツールを実際に設置する

3章 Wiresharkの概要
    3.1 Wiresharkの歴史
    3.2 Wiresharkの利点
    3.3 Wiresharkのインストール
        3.3.1 Windowsでのインストール
        3.3.2 Linuxでのインストール
        3.3.3 macOSシステムでのインストール
    3.4 Wiresharkの基本
        3.4.1 初めてのパケットキャプチャ
        3.4.2 Wiresharkのメインウィンドウ
        3.4.3 Wiresharkの設定画面
        3.4.4 パケットの色分け
    3.5 ファイルの設定
    3.6 プロファイルの設定

4章 Wiresharkでのパケットキャプチャのテクニック
    4.1 キャプチャファイルの操作
        4.1.1 キャプチャファイルの保存とエクスポート
        4.1.2 キャプチャファイルのマージ
    4.2 パケットの操作
        4.2.1 パケットの検索
        4.2.2 パケットのマーキング
        4.2.3 パケットの印刷
    4.3 時刻の表示形式と基準時刻表示
        4.3.1 時刻の表示形式
        4.3.2 時間参照
        4.3.3 時間調整
    4.4 キャプチャオプションの設定
        4.4.1 [Input(入力)]タブ
        4.4.2 [Output(出力)]タブ
        4.4.3 [Options(オプション)]タブ
    4.5 フィルタを使う
        4.5.1 キャプチャフィルタ
        4.5.2 表示フィルタ
        4.5.3 フィルタの保存
        4.5.4 表示フィルタのツールバーへの追加

5章 Wiresharkの高度な機能
    5.1 ネットワークのエンドポイントと対話
        5.1.1 エンドポイントの統計を見る
        5.1.2 ネットワークの対話を見る
        5.1.3 エンドポイントと対話から通信量が多い機器を識別
    5.2 プロトコル階層統計
    5.3 名前解決
        5.3.1 名前解決を有効にする
        5.3.2 名前解決の欠点
        5.3.3 専用のhostsファイルを使う
        5.3.4 名前解決を手動で行う
    5.4 プロトコル分析機構
        5.4.1 分析機構の変更
        5.4.2 分析機構のソースコードを見る
    5.5 ストリームの表示
        5.5.1 SSLストリームの表示
    5.6 パケット長
    5.7 グラフ表示
        5.7.1 IOグラフを見る
        5.7.2 往復遅延時間(ラウンドトリップタイム)グラフ
        5.7.3 フローグラフ
    5.8 エキスパート情報

6章 コマンドラインでのパケット解析
    6.1 TSharkをインストールする
    6.2 tcpdumpをインストールする
    6.3 パケットをキャプチャし保存する
    6.4 出力を操作する
    6.5 名前解決
    6.6 フィルタを使う
    6.7 TSharkの時刻表示形式
    6.8 TSharkの統計機能
    6.9 TSharkとtcpdumpの違い

7章 ネットワーク層プロトコル
    7.1 ARP(Address Resolution Protocol)
        7.1.1 ARPパケットの構造
        7.1.2 パケット1:ARPリクエスト
        7.1.3 パケット2:ARPレスポンス
        7.1.4 gratuitous ARP
    7.2 IP(Internet Protocol)
        7.2.1 IPv4(インターネット・プロトコル・バージョン4)
        7.2.2 IPv6(インターネット・プロトコル・バージョン6)
    7.3 ICMP
        7.3.1 ICMPパケットの構造
        7.3.2 ICMPのタイプとコード
        7.3.3 エコー要求とエコー応答
        7.3.4 traceroute
        7.3.5 ICMPv6

8章 トランスポート層プロトコル
    8.1 TCP
        8.1.1 TCPパケットの構造
        8.1.2 TCPポート
        8.1.3 TCPの3ウェイハンドシェイク
        8.1.4 TCPのティアダウン(切断)
        8.1.5 TCPリセット
    8.2 UDP
        8.2.1 UDPパケットの構造

9章 知っておきたい上位層プロトコル
    9.1 DHCP
        9.1.1 DHCPパケットの構造
        9.1.2 DHCP更新処理
        9.1.3 DHCPのリース更新
        9.1.4 DHCPオプションとメッセージタイプ
        9.1.5 DHCPv6
    9.2 DNS
        9.2.1 DNSパケットの構造
        9.2.2 単純なDNSクエリ
        9.2.3 DNSの問い合わせタイプ
        9.2.4 DNSの再帰
        9.2.5 DNSゾーン転送
    9.3 HTTP
        9.3.1 HTTPでブラウズする
        9.3.2 HTTPでデータをアップロードする
    9.4 SMTP
        9.4.1 メールの送受信
        9.4.2 メールの追跡
        9.4.3 SMTPで添付ファイルを送る
    9.5 まとめ

10章 現場に即したシナリオの第一歩
    10.1 Webコンテンツが表示されない
        10.1.1 ケーブルへの潜入
        10.1.2 パケット解析
        10.1.3 学んだこと
    10.2 応答しない天気予報サービス
        10.2.1 ケーブルへの潜入
        10.2.2 パケット解析
        10.2.3 学んだこと
    10.3 インターネットに接続できない
        10.3.1 ゲートウェイ設定問題
        10.3.2 不適切なリダイレクト
        10.3.3 外部の問題
    10.4 不安定なプリンタ
        10.4.1 ケーブルへの潜入
        10.4.2 パケット解析
        10.4.3 学んだこと
    10.5 孤立する支社
        10.5.1 ケーブルへの潜入
        10.5.2 パケット解析
        10.5.3 学んだこと
    10.6 ソフトウェアデータの破損
        10.6.1 ケーブルへの潜入
        10.6.2 パケット解析
        10.6.3 学んだこと
    10.7 まとめ

11章 ネットワークの遅延と戦う
    11.1 TCPのエラーリカバリ機能
        11.1.1 TCP再送
        11.1.2 重複ACKと高速再送
    11.2 TCPのフロー制御
        11.2.1 ウィンドウサイズの調整
        11.2.2 ゼロウィンドウ通知によるデータフローの一時停止
        11.2.3 TCPスライディングウィンドウの実例
    11.3 TCPエラー制御とフロー制御パケット
    11.4 高遅延の原因を突き止める
        11.4.1 正常な通信
        11.4.2 通信の遅延:回線遅延
        11.4.3 通信の遅延:クライアントの遅延
        11.4.4 通信の遅延:サーバの遅延
        11.4.5 遅延を見つけるフレームワーク
    11.5 ネットワークベースラインの確立
        11.5.1 サイトのベースライン
        11.5.2 ホストベースライン
        11.5.3 アプリケーションベースライン
        11.5.4 ベースラインについての追記
    11.6 まとめ

12章 セキュリティ問題とパケット解析
    12.1 偵察
        12.1.1 SYNスキャン
        12.1.2 OSフィンガープリント
    12.2 トラフィック操作
        12.2.1 ARPキャッシュポイゾニング
        12.2.2 セッションハイジャック
    12.3 マルウェア
        12.3.1 Operation Aurora
        12.3.2 リモートアクセス型のトロイの木馬
    12.4 エクスプロイトキットとランサムウェア
    12.5 まとめ

13章 無線LANのパケット解析
    13.1 物理面での考察

        13.1.1 一度に1つのチャンネルをキャプチャする
        13.1.2 無線LANの電波干渉
        13.1.3 電波干渉を検出、解析する
    13.2 無線LANカードのモード
    13.3 Windows上での無線LANのパケットキャプチャ
        13.3.1 AirPcapの設定
        13.3.2 AirPcapを使ったパケットキャプチャ
    13.4 Linux上での無線LANのパケットキャプチャ
    13.5 802.11パケットの構造
    13.6 [Packet List(パケット一覧)]ペインに無線LANの情報を追加する
    13.7 無線LAN特有のフィルタ
        13.7.1 特定のBSSIDでフィルタリング
        13.7.2 パケット別のフィルタリング
        13.7.3 周波数によるフィルタ
    13.8 無線LANプロファイルの保存
    13.9 無線LANのセキュリティ
        13.9.1 WEP認証の成功
        13.9.2 WEP認証の失敗
        13.9.3 WPA認証の成功
        13.9.4 WPA認証の失敗
    13.10 まとめ

付録A 推薦文献
    A.1 パケット解析ツール
        A.1.1 CloudShark
        A.1.2 WireEdit
        A.1.3 Cain & Abel
        A.1.4 Scapy
        A.1.5 TraceWrangler
        A.1.6 Tcpreplay
        A.1.7 NetworkMiner
        A.1.8 CapTipper
        A.1.9 ngrep
        A.1.10 libpcap
        A.1.11 Npcap
        A.1.12 hping
        A.1.13 Python
    A.2 パケット解析に役立つ情報源
        A.2.1 Wiresharkホームページ
        A.2.2 Practical Packet Analysisオンラインコース
        A.2.3 SANS Security Intrusion Detection In-Depth Course
        A.2.4 Chris Sandersのブログ
        A.2.5 Brad DuncanのMalware Traffic Analysis
        A.2.6 IANAのWebサイト
        A.2.7 W. Richard Stevenの『TCP/IP Illustrated』シリーズ
        A.2.8 『The TCP/IP Guide』(No Starch Press)

付録B パケットを知る
    B.1 パケット表示
    B.2 パケット構造図の利用
    B.3 謎のパケットを調べる
    B.4 まとめ

付録C Win10Pcap−WinPcap強化版ドライバの紹介
    C.1 Win10Pcapとは何か
        C.1.1 Win10Pcapの概要
        C.1.2 Win10Pcapの入手
        C.1.3 WinPcapの問題点
    C.2 Win10Pcapのインストールから利用まで
    C.3 WinPcapとの共存

付録D USBPcapを用いたUSBインターフェース通信のキャプチャ
    D.1 USBPcap概要
    D.2 USBデバイスの通信データキャプチャを行うための従来手法と課題
    D.3 USBPcapのインストール方法
    D.4 解析方法1:WiresharkからUSBPcapを呼び出す
    D.5 解析方法2:USBPcapCMD.exeでキャプチャする
    D.6 まとめ

索引

コラム目次
    「本物の」ハブを見つける
    ネットワークマップ
    WHOIS検索でIPアドレスの所有者を判断する

Feedback

皆さんのご意見をお聞かせください。ご購入いただいた書籍やオライリー・ジャパンへのご感想やご意見、ご提案などをお聞かせください。より良い書籍づくりやサービス改良のための参考にさせていただきます。
[feedbackページへ]