情報科学屋さんを目指す人のメモ(FC2ブログ版)

何かのやり方や、問題の解決方法をどんどんメモするブログ。そんな大学院生の活動「キャッシュ」に誰かがヒットしてくれることを祈って。

ブログ内検索

スポンサーサイト このエントリーを含むはてなブックマーク

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。
スポンサー広告 | 編集

SNMPとSRVLOCプロトコルがWiresharkでたくさん検出されるときの対策 このエントリーを含むはてなブックマーク

Wiresharkでとある通信を調べようとしたとき、今まで気にならなかったSNMPとSRVLOCプロトコルの通信が大量に発生していて、通信ログがとても見にくかったので、フィルタを使った対策法をメモ。

SNMPとSRVLOCとは

SNMPは、

SNMP
DARPAモデルに準じたIP ネットワーク上のネットワーク機器を監視(モニタリング)・制御するための情報の通信方法を定めるプロトコルである。
(Wikipediaより)
SRVLOCは、
SRVLOC
It provides automatic client configuration for applications and advertisement for network services.
(Service Location Protocol Projectより)
だそうです。

犯人はプリンタ

その2プロトコルの通信先を調べてみると、ネットワークプリンタでした。仮に、そのプリンタのIPアドレスを192.168.1.100とします。

Wiresharkで特定プロトコルを表示しないようにする方法

まず、Filterを利用してSNMPとSRVLOCプロトコルだけを表示にするには、キャプチャ画面のFilter蘭に

snmp or srvloc
と入力して「Apply」をクリックすればOK。

じゃぁ、逆にSNMPとSRVLOCプロトコルだけを非表示にするにはどうすればよいかというと、Filter蘭に、

!(snmp or srvloc)
または
!snmp and !srvloc
と入力すればOK。

Wiresharkで特定IPアドレスとの通信を表示しないようにする方法

たとえば、192.168.1.1からの通信のみを表示する場合は

ip.src == 192.168.1.1
192.168.1.1への通信のみを表示する場合は
ip.dst == 192.168.1.1
192.168.1.1との通信のみを表示する場合は
ip.addr == 192.168.1.1

では、それらの否定をどうすればいかというと、それぞれ以下のように「!( )」で囲めばOKです。

!(ip.src == 192.168.1.1)
!(ip.dst == 192.168.1.1)
!(ip.addr == 192.168.1.1)
こうすることで、それぞれ、192.168.1.1からの通信を表示しない、192.168.1.1への通信を表示しない、192.168.1.1との通信を表示しないという設定になります。また、上の二つは
ip.src != 192.168.1.1
ip.dst != 192.168.1.1
としても同じです。ただ、ここで注意なのですが
ip.addr != 192.168.1.1
は、!(ip.addr == 192.168.1.1)と同じ意味にはならず、通信元・通信先の両方が192.168.1.1の通信を表示しないという設定になってしまいます。これではだめです。

以上より、今回は、

!(ip.addr == 192.168.1.100(プリンタのIPアドレス)
とすればよいことになります。

まとめ

まとめというかポイントは、ip.addr != 192.168.1.1とやってしまわないことです。ほとんど素通りになってしまいます。!(ip.addr == 192.168.1.1)にしましょう。

パケットキャプチャ入門―LANアナライザWireshark活用術
Wiresharkパケット解析リファレンス
実践 パケット解析 ―Wiresharkを使ったトラブルシューティング

スポンサーサイト
ネットワーク | コメント:0 | トラックバック:0 | 編集

NFSがアンインストールされてた このエントリーを含むはてなブックマーク

前回のエントリの途中で、libeventを

#yum remove libevent

でアンインストールしたところ、nfs-utilsが巻き添えを食ってアンインストールされていて、service一覧に表示されないという予想もしないことになっていました。

#yum install nfs-utils

とやってNFSをインストールしなおしてみると、

Dependencies Resolved

=============================================================================
 Package           Arch           Version                 Repository    Size
=============================================================================
Installing:
 nfs-utils         x86_64         1:1.0.9-40.el5          base         387 k
Installing for dependencies:
libevent          x86_64         1.1a-3.2.1              base          21 k


と、表示され、やはりlibeventが関係していた模様。気をつけてください。

ネットワーク | コメント:0 | トラックバック:0 | 編集

プロキシ環境でのfiddler 訂正 このエントリーを含むはてなブックマーク

この前の記事「プロキシ環境でのfiddler」の訂正です。
わざわざ手動でプロキシ設定をする必要があったのは、プロキシを利用しているからではなく、ウィルスバスターが、fiddler.exeがIEの設定を変更するのをブロックしていたからでした。
ネットワーク | コメント:0 | トラックバック:0 | 編集

プロキシ環境でのfiddler このエントリーを含むはてなブックマーク

もともとIEなどでプロキシを利用している環境下でfiddlerを使ってみたらうまくいきませんでした
fiddlerを起動しても、全然HTTP通信をキャプチャしてくれない・・・
ということで、いろいろ試してみた結果、なんとかなったので、それについて説明します。


このページで指摘しているところとは別の方法で解決しました。

→「プロキシ環境でのfiddler 訂正



ほんとうに何とかなっただけなので、それが正しいやり方だかも分かりませんし、自分にしか適用出来ない内容かもしれないのであしからず。

まず、fiddler自体がプロキシです。これが重要な認識みたい。

IEでプロキシを利用するのですが、通常は

IE→プロキシサーバ→外部ネットワーク

って感じなのです。なので、普通にfiddlerを利用するときは

IE→fiddler(プロキシ)→外部ネットワーク

になっているんですね。ですから、通信を全部fiddlerを通してから外部に送っているわけです(受信は矢印の向きが逆になるだけ)。

つまり、プロキシサーバを利用しながらfiddlerを利用するときは

IE→fiddler(プロキシ)→プロキシサーバ→外部ネットワーク

と、なって欲しいわけです。要するに、以下の2点を設定しなくてはならない。


  1. IEのインターネットオプションで、fiddlerをプロキシサーバに指定する

  2. fiddlerのインターネットオプションで、通信に通常使っていたプロキシサーバを指定する



では、そのやり方。

1.IEのインターネットオプションで、fiddlerをプロキシサーバに指定する


まず、IEのインターネットオプション>接続>LANの設定 から、手動で「アドレス:localhost、ポート:8888」に設定してください。ちなみに、localhostは、自分自身のマシンの事です。ポート8888は、fiddlerのデフォルトで待ち構えるポート番号で、fiddlerのTools>Fiddler Option>Connections(日本語化とかしてませんので、全部英語です) で、指定できます(たぶん)。
これで、IEはfiddlerを通してアクセスするようになります。

2.fiddlerのインターネットオプションで、通信に通常使っていたプロキシサーバを指定する


次に、fiddlerが通常使用していたプロキシサーバを利用するようにします。fiddlerの、Tools>WinINET Option が、IEのインターネットオプションと同様(見た目的に完全に同一だと思われる)なので、そこで、通常使っていたようにプロキシを設定してください。これで、今度はfiddlerが指定したプロキシを利用するようになります。


手順は以上です。私はこれでうまくいきましたが、環境にもちろんよるでしょうね。だって、この説明だと、通常利用するときにもIEでプロキシサーバとしてfiddlerを指定しないといけないはずだもん。でも、たとえ説明が間違っていようが、とりあえずこれでうまくいったようなので、もしうまくいかずに困っていたのなら、これを試してみてください。ダメ元で




このような事がありつつも、目的としていたソフトがとりあえずできあがりました。あとは、機能をどんどん追加していく感じです。ここからが醍醐味というか、妙に楽しいところなんですよね。
ネットワーク | コメント:0 | トラックバック:0 | 編集

C#におけるhttps://への接続をFiddlerで監視すると出るエラー このエントリーを含むはてなブックマーク

前の記事で発生していた"基礎になる接続が閉じられました: SSL/TLS のセキュリティで保護されているチャネルに対する信頼関係を確立できませんでした"という例外。

困ったときは、とりあえず検索・・・ということで、見つけたこの記事の「匿名メソッドを使わない場合」をやってみたら見事に問題が無くなりました。書き終わって、匿名メソッドを使った例のほうが今の状況に合っている気がしたりもしたけど、とりあえずこれでFiddlerを用いて何をやっているかを覗くことが出来ます。やったね。

ただし、これをいつもやるのはヨクナイので、Fiddlerを使い終わったらとりあえずこの部分は機能を停止させる予定。他のエラーに気づけなくなりそうだしね。
ネットワーク | コメント:0 | トラックバック:0 | 編集
 | HOME |  OLD >>
上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。