ケーススタディ（ネットワークの遅延と戦う – 後編）

Hokkaido.cap #5

2011.08.26

Masayuki YAMAKI

今日の目標

• P2Pソフトによってネットワークが遅延しているシナリオを体験し、これらのパケットがWiresharkでどのように見えるか確認しましょう。

• Conversatios等、便利な解析機能の使い方を覚えましょう。

2

前回までのおさらい

• これまでの資料を以下のURLで公開しています。（USBメモリにも収録しています）Wiresharkを初めて使う方は参照しながら進めてみてください。

http://www.slideshare.net/eightroll

• 操作方法がわからない場合は、遠慮せずにどんどん質問してください。

3

今日の進め方

• 「実践パケット解析第8章ケーススタディ（ネット

ワークの遅延と戦う）」の内容をベースに進めます。本書をお持ちの方は演習に合わせて参照してください。（スライドには概要のみ記載しています）

• 気付いた点やわからない点があれば自由にディスカッションしましょう。

4

5

演習資料

－ ネットワークの遅延と戦う（後編） －

BitTorrentの大雨 (1/3)

• サンプルファイル : torrential-slowness.pcap

• 大量のTCP通信が記録されているファイル。（これだけでは状況がわからない）

• PSHフラグが立っている。

- 受信バッファをスキップして優先的に上位アプリケーションにデータを渡す。

• 通信全体の傾向やノードごとの対話状況を見る。

[Statistics] → [Conversations]

6

BitTorrentの大雨 (2/3)

• 192.168.0.193のノードが外部ノードと大量に通信している。（1秒以内に送信:10、受信:16）

7

BitTorrentの大雨 (3/3)

• 「Follow TCP Stream」では中身が解読できない。

• パケット一覧部を先頭から見ていくと、44番目のパケットが「BitTorrent」の名前解決であることがわかる。

8

• パケットを1つ1つ見ていくことが解決に繋がる場合もある。

補足 : Endpoints 機能

• キャプチャデータの中から通信量の多いノードを特定するには、Conversations機能に加え、Endpoints機能も有効。

9

メールサーバに流れ込む POP (1/3)

• サンプルファイル : email-troubles.pcap

• メールサーバ上でキャプチャしたデータ。

- 大量の POP(Post Office Protocol) パケットが流れ込んでいる。

10

メールサーバに流れ込む POP (2/3)

• POPはテキストベースのプロトコルのため、「Follow TCP Stream」で中身が見える。

11

メールサーバに流れ込む POP (3/3)

• 「document_9446.pif」というファイルが添付されている。

→ 原因はワームによる大量スパムメール

12

Gnutellaも大雨 (1/4)

• サンプルファイル : gnutella.pcap

• たくさんの外部ノードに通信を試みている。

- ただし、ほとんどはSYNパケットに対して応答がない。またはRSTを受け取っている。

13

Gnutellaも大雨 (2/4)

• 調査すべきトラフィックを把握するため、「Conversations」機能を使う。

- たくさんの外部ノードと少ないパケットをやり取りしているのがわかる。

14

Gnutellaも大雨 (3/4)

• 成功している通信から手掛かりを掴むため、Packetsでソート後、フィルタを適用する。

15

Gnutellaも大雨 (4/4)

• 431番目のパケットなどから、このノードがGnutellaの通信を実行していることがわかる。

16

17

まとめと参考資料

この演習のまとめ

• P2Pソフトやワームによってネットワークが圧迫されている通信がWiresharkでどのように見えるか確認しました。

• 実際のキャプチャデータでは似たようなパケットが大量に記録されるため、今回使用したConversations機能等を活用して素早く原因を特定できるようになりましょう。

18

参考資料

• 実践パケット解析 - Wiresharkを使ったトラブルシューティング

- http://www.oreilly.co.jp/books/9784873113517

- ISBN978-4-87311-351-7

19