Diese Präsentation wurde erfolgreich gemeldet.
Wir verwenden Ihre LinkedIn Profilangaben und Informationen zu Ihren Aktivitäten, um Anzeigen zu personalisieren und Ihnen relevantere Inhalte anzuzeigen. Sie können Ihre Anzeigeneinstellungen jederzeit ändern.
ケーススタディ(ネットワークの遅延と戦う – 後編)      Hokkaido.cap #5        2011.08.26      Masayuki YAMAKI
今日の目標• P2Pソフトによってネットワークが遅延しているシ  ナリオを体験し、これらのパケットがWireshark  でどのように見えるか確認しましょう。• Conversatios等、便利な解析機能の使い方を覚  えましょう。      ...
前回までのおさらい• これまでの資料を以下のURLで公開しています。  (USBメモリにも収録しています)  Wiresharkを初めて使う方は参照しながら進め  てみてください。     http://www.slideshare.net/e...
今日の進め方• 「実践パケット解析 第8章 ケーススタディ(ネット  ワークの遅延と戦う)」の内容をベースに進めま  す。本書をお持ちの方は演習に合わせて参照  してください。  (スライドには概要のみ記載しています)• 気付いた点やわからない...
演習資料- ネットワークの遅延と戦う(後編) -         5
BitTorrentの大雨 (1/3)• サンプルファイル : torrential-slowness.pcap• 大量のTCP通信が記録されているファイル。  (これだけでは状況がわからない)• PSHフラグが立っている。  - 受信バッファ...
BitTorrentの大雨 (2/3)• 192.168.0.193のノードが外部ノードと大量に通  信している。(1秒以内に送信:10、受信:16)               7
BitTorrentの大雨 (3/3)• 「Follow TCP Stream」では中身が解読できない。• パケット一覧部を先頭から見ていくと、44番目  のパケットが「BitTorrent」の名前解決であること  がわかる。• パケットを1つ...
補足 : Endpoints 機能• キャプチャデータの中から通信量の多いノードを特  定するには、Conversations機能に加え、Endpoints  機能も有効。                 9
メールサーバに流れ込む POP (1/3)• サンプルファイル : email-troubles.pcap• メールサーバ上でキャプチャしたデータ。  - 大量の POP(Post Office Protocol) パケットが流れ込    んで...
メールサーバに流れ込む POP (2/3)• POPはテキストベースのプロトコルのため、  「Follow TCP Stream」で中身が見える。               11
メールサーバに流れ込む POP (3/3)• 「document_9446.pif」というファイルが添付され  ている。   → 原因はワームによる大量スパムメール               12
Gnutellaも大雨 (1/4)• サンプルファイル : gnutella.pcap• たくさんの外部ノードに通信を試みている。 - ただし、ほとんどはSYNパケットに対して応答がない。   またはRSTを受け取っている。          ...
Gnutellaも大雨 (2/4)• 調査すべきトラフィックを把握するため、  「Conversations」機能を使う。 - たくさんの外部ノードと少ないパケットをやり取りし   ているのがわかる。             14
Gnutellaも大雨 (3/4)• 成功している通信から手掛かりを掴むため、  Packetsでソート後、フィルタを適用する。             15
Gnutellaも大雨 (4/4)• 431番目のパケットなどから、このノードが  Gnutellaの通信を実行していることがわかる。             16
まとめと参考資料   17
この演習のまとめ• P2Pソフトやワームによってネットワークが圧迫  されている通信がWiresharkでどのように見える  か確認しました。• 実際のキャプチャデータでは似たようなパケット  が大量に記録されるため、今回使用した  Conve...
参考資料• 実践パケット解析 - Wiresharkを使ったトラブル  シューティング - http://www.oreilly.co.jp/books/9784873113517 - ISBN978-4-87311-351-7        ...
Nächste SlideShare
Wird geladen in …5
×

Hokkaido.cap#5 ケーススタディ(ネットワークの遅延と戦う:後編)

4.761 Aufrufe

Veröffentlicht am

  • Als Erste(r) kommentieren

Hokkaido.cap#5 ケーススタディ(ネットワークの遅延と戦う:後編)

  1. 1. ケーススタディ(ネットワークの遅延と戦う – 後編) Hokkaido.cap #5 2011.08.26 Masayuki YAMAKI
  2. 2. 今日の目標• P2Pソフトによってネットワークが遅延しているシ ナリオを体験し、これらのパケットがWireshark でどのように見えるか確認しましょう。• Conversatios等、便利な解析機能の使い方を覚 えましょう。 2
  3. 3. 前回までのおさらい• これまでの資料を以下のURLで公開しています。 (USBメモリにも収録しています) Wiresharkを初めて使う方は参照しながら進め てみてください。 http://www.slideshare.net/eightroll• 操作方法がわからない場合は、遠慮せずにど んどん質問してください。 3
  4. 4. 今日の進め方• 「実践パケット解析 第8章 ケーススタディ(ネット ワークの遅延と戦う)」の内容をベースに進めま す。本書をお持ちの方は演習に合わせて参照 してください。 (スライドには概要のみ記載しています)• 気付いた点やわからない点があれば自由に ディスカッションしましょう。 4
  5. 5. 演習資料- ネットワークの遅延と戦う(後編) - 5
  6. 6. BitTorrentの大雨 (1/3)• サンプルファイル : torrential-slowness.pcap• 大量のTCP通信が記録されているファイル。 (これだけでは状況がわからない)• PSHフラグが立っている。 - 受信バッファをスキップして優先的に上位アプリ ケーションにデータを渡す。• 通信全体の傾向やノードごとの対話状況を見る。 [Statistics] → [Conversations] 6
  7. 7. BitTorrentの大雨 (2/3)• 192.168.0.193のノードが外部ノードと大量に通 信している。(1秒以内に送信:10、受信:16) 7
  8. 8. BitTorrentの大雨 (3/3)• 「Follow TCP Stream」では中身が解読できない。• パケット一覧部を先頭から見ていくと、44番目 のパケットが「BitTorrent」の名前解決であること がわかる。• パケットを1つ1つ見ていくことが解決に繋がる 場合もある。 8
  9. 9. 補足 : Endpoints 機能• キャプチャデータの中から通信量の多いノードを特 定するには、Conversations機能に加え、Endpoints 機能も有効。 9
  10. 10. メールサーバに流れ込む POP (1/3)• サンプルファイル : email-troubles.pcap• メールサーバ上でキャプチャしたデータ。 - 大量の POP(Post Office Protocol) パケットが流れ込 んでいる。 10
  11. 11. メールサーバに流れ込む POP (2/3)• POPはテキストベースのプロトコルのため、 「Follow TCP Stream」で中身が見える。 11
  12. 12. メールサーバに流れ込む POP (3/3)• 「document_9446.pif」というファイルが添付され ている。 → 原因はワームによる大量スパムメール 12
  13. 13. Gnutellaも大雨 (1/4)• サンプルファイル : gnutella.pcap• たくさんの外部ノードに通信を試みている。 - ただし、ほとんどはSYNパケットに対して応答がない。 またはRSTを受け取っている。 13
  14. 14. Gnutellaも大雨 (2/4)• 調査すべきトラフィックを把握するため、 「Conversations」機能を使う。 - たくさんの外部ノードと少ないパケットをやり取りし ているのがわかる。 14
  15. 15. Gnutellaも大雨 (3/4)• 成功している通信から手掛かりを掴むため、 Packetsでソート後、フィルタを適用する。 15
  16. 16. Gnutellaも大雨 (4/4)• 431番目のパケットなどから、このノードが Gnutellaの通信を実行していることがわかる。 16
  17. 17. まとめと参考資料 17
  18. 18. この演習のまとめ• P2Pソフトやワームによってネットワークが圧迫 されている通信がWiresharkでどのように見える か確認しました。• 実際のキャプチャデータでは似たようなパケット が大量に記録されるため、今回使用した Conversations機能等を活用して素早く原因を特 定できるようになりましょう。 18
  19. 19. 参考資料• 実践パケット解析 - Wiresharkを使ったトラブル シューティング - http://www.oreilly.co.jp/books/9784873113517 - ISBN978-4-87311-351-7 19

×