Linux ゲートウェイを通過するパケットをキャプチャする方法を教えてください【参考情報】

質問

Linux ゲートウェイを通過するパケットをキャプチャする方法を教えてください。

回答

以下手順は参考情報となります。

※将来のサードパーティコマンドの実装の変更、サードパーティソフトウェアの変更により実際に即した手順にて実施下さい。

※サードパーティコマンド、サードパーティソフトウェア利用方法の詳細は、それぞれのベンダー様にお問い合わせ下さい。

 

Linux ゲートウェイで障害が発生した場合、Linux ゲートウェイのパケットキャプチャが障害の原因判明の手がかりになる場合があります。
パケットキャプチャは tcpdump コマンドで作成できます。

【tcpdump 作成方法】

 

Linux ゲートウェイが導入された PC 上で、root 権限で以下のコマンドを実行し、パケットキャプチャを開始します。
# tcpdump -i any -p -s 0 -l -w <file_name.cap>
(<file_name.cap>には任意のファイル名(例:linuxgw-20060505.cap)を指定してください)

障害となっている事象を再現させます。

Ctrl-C を押してキャプチャを終了します。
キャプチャした結果が<file_name.cap>として保存されます。
キャプチャ後は"# tcpdump -n -r <file_name.cap>"を実行して、キャプチャした結果を参照できることをご確認ください。

コマンド実行例:

    # tcpdump -i any -p -s 0 -l -w linuxgw-20070101.cap
    tcpdump: listening on any, link-type LINUX_SLL (Linux cooked), capture size 65535 bytes
    ●●●ここで問題を再現●●●
    ●●●問題再現後、Ctrl-C コマンドで終了●●●
    80 packets captured
    80 packets received by filter
    0 packets dropped by kernel
    # tcpdump -n -r linuxgw-20070101.cap
    reading from file linuxgw-20070101.cap, link-type LINUX_SLL (Linux cooked)
    14:46:02.087325 IP 192.168.3.110.ssh > 192.168.3.100.38877: P 3536306927:3536307055(128) ack 3370430943 win 2728
    14:46:02.087331 IP 192.168.3.110.ssh > 192.168.3.100.38877: P 0:128(128) ack 1 win 2728
    14:46:02.087430 IP 192.168.3.100.38877 > 192.168.3.110.ssh: . ack 128 win 19292
    14:46:02.087430 IP 192.168.3.100.38877 > 192.168.3.110.ssh: . ack 128 win 19292
    ...


取得したキャプチャ結果(xxx.cap)は、Windows 上の Wireshark(旧Ethereal )等でも確認・解析いただけます。
Wireshark URL:http://www.wireshark.org/

 

  • ファイルの読み込み: xxx.cap をダブルクリック。又はメニューから「File」=「Open..」で開きます。
  • ストリーミングの確認: パケットを選択し、右クリックから「Followin TCP Stream」を選択します
Pricing & Product Info

For product info and pricing please go to the F-Secure product page

バージョン履歴
改訂番号
3/3
最終更新:
‎17-08-2016 10:38 AM
更新者:
 
ラベル(2)