パケット解析にまつわるお話�~ネットワークモニターとHyper-V~
265 Views
October 22, 15
スライド概要
Microsoft Network Minotirの歴史とHyper-Vのモニターポートの話。
両者に関連性はあまりありません。
トレノケート株式会社で、Windows ServerとAzureを中心に技術者向けトレーニングを担当
関連スライド
各ページのテキスト
パケット解析にまつわるお話 ~ネットワークモニターとHyper-V~ グローバル ナレッジ ネットワーク株式会社 横山哲也
自己紹介 1994年~ ITプロ向けWindows関連教育 2003年~ マイクロソフトMVP (Directory Services) 2012年のみ「Virtual Machines」 好きなネットワークパケット Windowsネットワークのホストアナウンスメント(古い) 最近の著書・雑誌記事 ひと目でわかるAzure 基本から学ぶサーバー&ネットワーク構築 (日経BP) グループポリシー逆引きリファレンス厳選92 (日経BP) ブログ 仕事ブログ: ヨコヤマ企画(http://yp.g20k.jp) 個人ブログ: ヨコヤマ企画(分室) (http://yokoyama-tetsuya.cocolog-nifty.com/) 2 Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved.
はじめに 目標 マイクロソフト謹製パケットモニターの歴史を語る Hyper-V仮想スイッチのミラーポートを構成する 内容 1. マイクロソフトのパケットモニターの歴史 2. Hyper-V仮想スイッチの構成 3 Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved.
マイクロソフト謹製パケットモニター Systems Management Server版 Windows server版 ダウンロード版 ネットワークモニターエージェント 後継ツール
Systems Management Server Microsoft Systems Management Server (SMS) 1994年 Microsoft Systems Management Server 1.0 1.1、1.2、2.0、3.0(2003)を経て 2007年 System Center Configuration Manager 2007 主な機能 ソフトウェアとハードウェアのインベントリ収集 プログラムの配布 リモートコントロール トラブルシューティング Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved.
Systems Management Server版ネットワークモニター プロミスキャスモード可 パーサー拡張可 リモートモニター可 1. 管理ツールからホストを指定 2. モニター開始 ネットワークモニターエージェント経由 モニターPC指定 管理ツール Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved.
Windows Server版ネットワークモニター 入手方法 Windows Server 2000/2003標準機能(2.x) 制約 プロミスキャスモード不可 リモートモニター不可 7 Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved.
ダウンロード版ネットワークモニター バージョン3.x (最終版は3.4) プロミスキャスモード可 リモートモニター不可 ネットワークモニターエージェント内蔵 特徴 プロミスキャスモードサポート アプリケーション単位でパケット解析可能 (同一ホストの別アプリケーションを区別) 制約 Windows 10では動作しないらしい 8 Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved.
ネットワークモニターエージェント 以前のOSの標準機能(プロトコル扱い) NDISレベルでモニター ネットワークモニター エージェント ネットワークアプリケーション TCP/IP Windows Firewall TDI NWLink NBF NDIS NICドライバー NICハードウェア 9 Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved.
後継ツール Microsoft Message Analyzer 特徴 Windowsのイベントトレース機能を利用 IPSecはWFASレベルで解析→暗号化パケット分析可 WFAS: Windows Firewall with Advanced Security セキュリティが強化されたWindowsファイアウォール TCP/IP NDIS NICドライバー NICハードウェア 10 イベントトレース ネットワークアプリケーション Windows Firewall TDI Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved.
まとめ ネットワークモニター 旧バージョン 手軽 最新OSに対応しない Microsoft Message Analyzer これから勉強するならこっち 11 Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved.
Hyper-V仮想スイッチのミラーポート バス型LAN スイッチ型LAN スイッチのパケットモニター Hyper-Vスイッチのモニター
バス型LAN イーサネット = Ethernet 原型はALOHAnet(ハワイ大学) 単一バンドを半二重使用 設計者Norman Abramsonはサーフィンが趣味で ハワイ大学に職を求める 10 BASE 5…10Mbpsの同軸ケーブル(多くは黄色) 1本のケーブルに針を立てて接続(バンパイヤタップ) 物理層 このケーブルが「ネットワーク」 Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved.
スイッチ型LAN ハブ 共有ハブ…1本のケーブルを1つの装置に集約 スイッチングハブ…データリンク層で中継 共有ハブ…ケーブルの代用 スイッチングハブ…データリンク層 スイッチ…切り替え機 共有ハブ…ケーブルの代用 スイッチングハブ…データリンク層 Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved.
スイッチのパケットモニター 基本的な性質…第三者には傍受できない 傍受のための、いろいろ悪い方法もあります パケットモニターの正攻法 モニターポートの利用 共有ハブ…ケーブルの代用 スイッチングハブ…データリンク層 15 Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved.
Hyper-Vスイッチのモニター 仮想マシンのネットワークポート 移行元…傍受するマシン 移行先…管理者のいるところ やってみたら、ときどきうまくいかない… 16 Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved.
やってみた Hyper-V仮想スイッチの移行元 Hyper-V仮想スイッチの移行先 キャプチャ 17 Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved.
まとめ スイッチネットワークの場合 傍受をするにはひと手間必要 Hyper-Vの場合は仮想NICの設定で構成 移行元…傍受するマシン 移行先…管理者のいるところ 教訓 手に職があれば、どこにでも行ける 18 Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved.
告知
WireSharkを使う教育コース http://www.globalknowledge.co.jp/ おすすめ Windows Serverの1日コース Microsoft Azureの1日コース Active Directoryの4日コース(カスタマイズ) Microsoft Universityの5日コース WireSharkを使う教育コース コース名 コンピュータネットワーク技術 ~エンジニアのための技術基礎~ IPv6ネットワーク構築実習 ~IPv6移行技術、サーバ構築、導入事例~ TCP/IPプロトコル詳解 ~主要プロトコルの解析による機能と動作の理解~ 20 期間 税抜価格 3日 150,000円 2日 120,000円 3日 150,000円 Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved.