パケット キャプチャと分析は、ネットワークの相互作用を調査し、非効率な送信や危険なサイバー脅威を特定するのに非常に役立ちます。
パケット キャプチャとは、ネットワーク接続上を移動するデータ パケットを傍受して収集することを指します。データ パケットは記録および検査され、高遅延やグリッチなどのネットワークの問題を特定して管理します。パケット分析から取得した情報は、ネットワーク管理者が短時間でネットワーク障害のトラブルシューティングと修正を行うのを支援するために使用されます。
パケット分析は、次のタスクの一部に使用されます。
- セキュリティリスクの検出
- DNS 問題のトラブルシューティング
- ネットワーク接続の問題の特定と解決
- ネットワーク障害の検出
- パケット漏洩の検出と修正
- マルウェアの検出と防止
データ パケット全体またはパケットの特定のセグメントをキャプチャすることが可能です。完全なデータ パケットは、ペイロードとヘッダーの 2 つの部分で構成されます。ペイロード セグメントにはパケットの実際の内容が含まれ、ヘッダー セグメントにはパケットの送信元アドレスや宛先アドレスなどの情報が含まれます。
フル パケット キャプチャと分析を実行するためのいくつかのアプリケーションのリストをまとめました。
さあ、始めましょう。
コーラソフト カプサ
Capsa は、有線ネットワークと無線ネットワークの両方を対象としたリアルタイムのポータブル ネットワーク アナライザー、監視、診断ツールです。データ パケット検査は、定期的または毎月など、指定した時刻に実行するようにスケジュールできます。定期的なスキャンにより、発生したパフォーマンスの問題を見逃すことがなくなります。何かを忘れてしまった場合は、参加が必要なネットワーキング セッションが発生するたびに電子メールと音声アラートで通知されます。
Capsa は、ユーザーがサービスの中断を引き起こす可能性のある脆弱性や脅威に関する最新情報を入手できるように支援します。このツールを使用すると、通話コーデック タイプやイベント配布などのすべての重要な VoIP (Voice over Internet Protocol) メトリクスが適切に追跡されます。これは、パケット検査に取り組み、ネットワークの問題を検出してネットワーク セキュリティを向上させる方法を学びたいと考えている個人にとって優れたツールです。
特徴:
- パケットの作成と再生、IP アドレスのスキャンと ping を行うための無料の組み込みユーティリティ。
- ネットワークの問題を診断し、解決策を自動的に推奨します。
- VoIP および TCP フロー分析をサポートしており、応答時間の遅さや CRM (顧客関係管理) トランザクションなどのネットワーク問題の診断に使用できます。
- DDoS 攻撃、ARP 攻撃、TCP ポート スキャンを検出でき、ユーザーはネットワーク内の技術的な問題を特定することもできます。
- このツールは 1,800 を超えるプロトコルをサポートしているため、ネットワーク内のプロトコルを調べて、何が起こっているかを簡単に理解できます。
- すべてのデータ パケットを収集し、完全なパケット シーケンス情報を 16 進数および ASCII 形式で表示します。 (詳細なパケットデコード)
- ネットワークのトラフィックやスループット情報をグラフ形式で表示できます。
Colasoft は、ネットワーク パフォーマンス分析システム (nChronos) や統合パフォーマンス管理ソリューション (Colasoft UPM) などの他のツールも提供しています。購入前に機能を確認できる 30 日間の無料トライアルが提供されています。
TCPDump
TCPDump は、 TCP、UDP、ICMP (Internet Control Message Protocol) などのプロトコルをキャプチャする、オープンソースの強力なコマンドライン パケット アナライザー ツールです。このツールは、すべての Unix 系オペレーティング システムにプリインストールされています。 TCPDump は BSD ライセンスに基づいてリリースされています。 tcpdump を使用すると、TCP/IP パケットのヘッダーを簡単に検査できます。データ送信ごとに情報が出力され、スクリプトは Ctrl+C オプションで終了するまで実行されます。
Tcpdump のセットアップは非常に簡単で、ツールの使用法、フラグ、引数を学習すれば、このツールを使用して接続の問題をトラブルシューティングし、ネットワークを保護することができます。記録されたデータ パケットは、tcpdump によるさらなる分析のためにファイルに保存されます。ファイルは PCAP 拡張子形式で保存され、PCAP (パケット キャプチャの略) 形式のファイルを読み取る tcpdump または Wireshark で簡単に検査できます。
特徴:
- キャプチャされたデータ パケットを送信元、宛先、プロトコルごとにフィルタリングすることが可能です。
- 無料かつオープンソース
tcpdump を使用してネットワーク トラフィックをキャプチャして分析する方法に関する記事は次のとおりです。
ペスラー PRTG
最も人気のあるネットワーク監視およびトラフィック分析ツールの 1 つは、Paessler PRTG Network Monitor です。このツールは、ネットワークのインフラストラクチャとそのパフォーマンスに関する重要な情報を提供します。
Windowsと互換性があります。帯域幅監視やトラフィック分析など、さまざまな監視オプションが含まれています。 Paessler PRTG の無料版が利用可能です。ネットワーク パフォーマンス メトリックをレポートするために、パケット スニファー、WMI、および SNMP を組み合わせて使用します。
特徴:
- 柔軟なアラート– PRTG には、SMS、プッシュ通知、電子メール、HTTP リクエストのトリガーなどを含む 10 を超える設計テクノロジーがあります。
- 複数のユーザー インターフェイス– 強力なセキュリティ要件を備えた AJAX 上に構築され、シングル ページ アプリケーション (SPA) テクノロジによる高いパフォーマンスを実現します。
- クラスター フェイルオーバー ソリューション– わずかに上位の監視ソリューションを構成します。
- マップとダッシュボード– 現在のライブ情報を特徴とするリアルタイム マップを使用して、ネットワークを視覚化します。
- 分散監視– ポータブル インターセプターを使用すると、さまざまな場所にある多数のネットワークや組織内の複数のネットワークを監視できます。
- 数値、統計、グラフの形式による詳細なレポート
このツールは、SMS、電子メール、Slack などのプラットフォームへのサードパーティ接続など、さまざまなアラート方法をサポートしています。 PRTG は 30 日間の無制限バージョンでご利用いただけます。無料期間終了後は無料形式に戻ります。
ワイヤーシャーク
Wireshark は、ネットワーク データ送信をリアルタイムで検査できる無料のオープンソース パケット アナライザーです。このツールを使用すると、ネットワーク管理者はネットワークを顕微鏡レベルで調査して、トラフィックの問題や間違いの原因を正確に特定できます。これは、ネットワークの概念をしっかりと理解する必要がある優れたツールです。
特徴:
- 実際には、Windows、Linux ディストリビューション、Mac OS X など、あらゆるオペレーティング システムで動作します。
- 現在の統計データに基づいてレポートを作成します。
- 出力のフィルタリングは、タイマーやフィルターなどのさまざまなオプションを使用して実行できます。
- IO グラフとチャートを使用してネットワーク パケットを視覚化します。
- USB トラフィックを記録することもできます。
- 不正なトラフィックのフィンガープリンティング、パケット フィルタリング設定など、幅広い用途に使用できます。
- 色分けルールを適用して、トラフィックのタイプを識別できます。
- VoIP (Voice over Internet Protocol) の詳細な調査。
データ パケットの損失、ネットワーク遅延の問題、アプリケーションの依存関係、非効率的なウィンドウ サイズなどは、Wireshark が役立つ一般的なトラブルシューティングの課題です。このツールを使用すると、ネットワーク トラフィックを監視し、問題の原因を検索して特定するためのメカニズムを提供できます。
ネットワークの MAC アドレス インターフェイスに送信されないユニキャスト (コネクションレス) トラフィックも、Wireshark ツールで監視できます。
Wireshark を使用したネットワーク遅延のトラブルシューティングに関するこの記事を参照してください。
アルキメ
Arkime は既存のセキュリティ システムと連携して動作し、標準 PCAP 形式でネットワーク トラフィックとデータ送信を収集し、インデックスを付けます。
記録されたすべてのデータ パケットは通常の PCAP 形式で保存およびエクスポートされるため、分析プロセスで Wireshark や tcpdump などのお気に入りの PCAP 取り込みツールを使用できます。
PCAP の保持期間は利用可能なセンサー ディスクの容量によって決まりますが、API の保持期間は Elasticsearch クラスターのサイズによって決まります。これらのパラメータはいつでも変更できます。
Arkime は、複数のシステムにわたって動作するように設計されており、毎秒数十ギガビットのトラフィックに対応できるように拡張されます。 Arkime センサーに保存されているすべての PCAP 形式ファイルはインストールでき、Arkime Web インターフェイスまたは API 経由でのみアクセスできます。 PCAP ファイルは、Arkime を使用して保存時に暗号化できます。
特徴:
- PCAP ファイルを調査、検索、抽出するための使いやすい Web インターフェイスを提供します。
- 無料でオープンソース
- 他の PCAP 取り込みツールが保存された PCAP ファイルを検査できるようにします。
PCAP データと JSON 形式のトランザクション データは、API を通じて直接取得できます。 Arkime の完全な API ドキュメントは、こちらからご覧ください。
結論
パケット キャプチャ データの分析には通常、高度な技術的専門知識が必要ですが、これらのツールを使用することで実現できます。
この記事が、小規模から大規模のネットワーク向けの完全なパケット キャプチャおよび分析ツールを学習するのに非常に役立つことを願っています。
最高の Wi-Fi アナライザー ソフトウェア ツールについて学ぶことにも興味があるかもしれません。