情報科学屋さんを目指す人のメモ(FC2ブログ版)

何かのやり方や、問題の解決方法をどんどんメモするブログ。そんな大学院生の活動「キャッシュ」に誰かがヒットしてくれることを祈って。

ブログ内検索

スポンサーサイト このエントリーを含むはてなブックマーク

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。
スポンサー広告 | 編集

SNMPとSRVLOCプロトコルがWiresharkでたくさん検出されるときの対策 このエントリーを含むはてなブックマーク

Wiresharkでとある通信を調べようとしたとき、今まで気にならなかったSNMPとSRVLOCプロトコルの通信が大量に発生していて、通信ログがとても見にくかったので、フィルタを使った対策法をメモ。

SNMPとSRVLOCとは

SNMPは、

SNMP
DARPAモデルに準じたIP ネットワーク上のネットワーク機器を監視(モニタリング)・制御するための情報の通信方法を定めるプロトコルである。
(Wikipediaより)
SRVLOCは、
SRVLOC
It provides automatic client configuration for applications and advertisement for network services.
(Service Location Protocol Projectより)
だそうです。

犯人はプリンタ

その2プロトコルの通信先を調べてみると、ネットワークプリンタでした。仮に、そのプリンタのIPアドレスを192.168.1.100とします。

Wiresharkで特定プロトコルを表示しないようにする方法

まず、Filterを利用してSNMPとSRVLOCプロトコルだけを表示にするには、キャプチャ画面のFilter蘭に

snmp or srvloc
と入力して「Apply」をクリックすればOK。

じゃぁ、逆にSNMPとSRVLOCプロトコルだけを非表示にするにはどうすればよいかというと、Filter蘭に、

!(snmp or srvloc)
または
!snmp and !srvloc
と入力すればOK。

Wiresharkで特定IPアドレスとの通信を表示しないようにする方法

たとえば、192.168.1.1からの通信のみを表示する場合は

ip.src == 192.168.1.1
192.168.1.1への通信のみを表示する場合は
ip.dst == 192.168.1.1
192.168.1.1との通信のみを表示する場合は
ip.addr == 192.168.1.1

では、それらの否定をどうすればいかというと、それぞれ以下のように「!( )」で囲めばOKです。

!(ip.src == 192.168.1.1)
!(ip.dst == 192.168.1.1)
!(ip.addr == 192.168.1.1)
こうすることで、それぞれ、192.168.1.1からの通信を表示しない、192.168.1.1への通信を表示しない、192.168.1.1との通信を表示しないという設定になります。また、上の二つは
ip.src != 192.168.1.1
ip.dst != 192.168.1.1
としても同じです。ただ、ここで注意なのですが
ip.addr != 192.168.1.1
は、!(ip.addr == 192.168.1.1)と同じ意味にはならず、通信元・通信先の両方が192.168.1.1の通信を表示しないという設定になってしまいます。これではだめです。

以上より、今回は、

!(ip.addr == 192.168.1.100(プリンタのIPアドレス)
とすればよいことになります。

まとめ

まとめというかポイントは、ip.addr != 192.168.1.1とやってしまわないことです。ほとんど素通りになってしまいます。!(ip.addr == 192.168.1.1)にしましょう。

パケットキャプチャ入門―LANアナライザWireshark活用術
Wiresharkパケット解析リファレンス
実践 パケット解析 ―Wiresharkを使ったトラブルシューティング

スポンサーサイト
ネットワーク | コメント:0 | トラックバック:0 | 編集
 | HOME | 
上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。