Upgrade to Pro — share decks privately, control downloads, hide ads and more …

20201218_pktmon_netsh

ONO,Tetsuo
December 18, 2020
How-to & DIY
0
480

 20201218_pktmon_netsh

Windows10 のpktmonが使いやすかったので、
Windows7/8以降のnetsh trace コマンドと Linuxのtcpdump/tsharkとの簡単な比較も兼ねてスライドを起こしました。

ONO,Tetsuo

December 18, 2020
Tweet

More Decks by ONO,Tetsuo

See All by ONO,Tetsuo
20240127_NGK2024S_DM
gplains
0
250
20230121_NGK2023S_DM
gplains
0
390
202101_t1d_telework
gplains
0
410
202012_juiceshop
gplains
0
100
20201130_keepalived
gplains
0
120
20201123_prep_exam_1
gplains
0
110
202011_rsyslog
gplains
0
41
20201117_vagrant
gplains
0
91
20200505_networkmanager
gplains
0
140

Other Decks in How-to & DIY

See All in How-to & DIY
電気工事士を取ったら一瞬で元が取れた件
bicstone
3
4.3k
Learning from Firefighters
ksatirli
PRO
0
140
Discover the Quality Coach role and their Toolbox
emna__ayadi
0
120
コロナ後の世界メイカーフェア事情 高須正和@Nico-Tech Shenzhen #KMMF2024 #KariyaMMF2024
takasumasakazu
0
250
地域JAWSの現状とベストプラクティス
awsjcpm
0
360
enebular Update for the second half of 2023
taokiuhuru
0
160
俺とキャンプ
sat
PRO
1
290
[AWS Expert Online for JAWS-UG] Amazon CloudWatch で できる n 個のこと
awsjcpm
0
140
PlatformIO IDE用M5Stack定型コード環境の紹介
3110
1
330
JAWS-UGから学んだコミュニティの成功要因 (Success Factors)
awsjcpm
3
330
Earthquake and Kominka
ramtop
0
140
GPTsとラズパイ5で監視カメラを作ってみた #iotlt #chatgpt #raspberrypi
n0bisuke2
0
480

Featured

See All Featured
10 Git Anti Patterns You Should be Aware of
lemiorhan
655
59k
GitHub's CSS Performance
jonrohan
1030
460k
How GitHub (no longer) Works
holman
310
140k
Build your cross-platform service in a week with App Engine
jlugia
229
18k
Done Done
chrislema
181
16k
CoffeeScript is Beautiful & I Never Want to Write Plain JavaScript Again
sstephenson
159
15k
The Web Performance Landscape in 2024 [PerfNow 2024]
tammyeverts
0
120
Optimising Largest Contentful Paint
csswizardry
33
2.9k
Speed Design
sergeychernyshev
25
620
Save Time (by Creating Custom Rails Generators)
garrettdimon
PRO
27
840
Bash Introduction
62gerente
608
210k
Automating Front-end Workflow
addyosmani
1366
200k

Transcript

  1. 運用管理上のパケットキャプチャの手順 について今更ながら考える 大野 哲生(@g_plains)

  2. 目次  はじめに  ケース1:Windows10 2004以降 の場合  ケース2:Windows 7/8.1

    の場合 ※Windows Server 2008-2016の場合、も  ケース3:一般的なLinuxの場合  ふりかえり

  3. はじめに  昔々某案件やったときにWireShark使ってすごい感激したん ですよ  でも実案件だと「えーWireSharkってダークなんでしょ、 うちでは構成管理上ダメです」とか言われたりして  そんなわけでそれ以外の方法を無理やり考えてみます

  4. ケース1:Windows10 2004の場合  大抵のご家庭に入っているWindows10  大抵のご家庭に入っているWindows10 2004  Windows10 2004にはいろいろなツールが入っているので

    これを使わない手はない ◦ curl ◦ ssh ◦ pktmon ◦ WSL(1/2)

  5. pktmonってナニ  Windows10 2004から同梱されるようになったツール  ぶっちゃけ以下の機能が使えます ◦ パケットキャプチャ(ETL) ◦ キャプチャデータの変換(ETL→PCAPNG)

    ◦ キャプチャデータの出力(ETL→TXT)

  6. 実際にpktmonを使う-1  管理者権限でコマンドプロンプトを開いて  キャプチャ開始  トラヒックログが(大量に)表示されるので、 ^Cで中断 pktmon start

    --etw -p 0 -l real-time

  7. 実際にpktmonを使う-2  管理者権限でコマンドプロンプトを開いて  キャプチャ開始  適当なタイミングで終了  ETLからPCAPNGに変換 

    ETLからTXTに変換(ダンプ?) pktmon start --etw -f .¥test.etl pktmon stop pktmon pcapng test.etl -o test.pcapng pktmon format test.etl -o test.txt

  8. 実際にpktmonを使う-3  出力したpcapng は、WireSharkでも読めます  WSL上にubuntuが入ってたら、こんな感じで ※Windows側のc:¥tmp に配置すると WSLでは /mnt/c/tmp

    にあるように見える # まあwiresharkをインストールするわけですが sudo apt install tshark # IPアドレスがxx.xx.xx.xx のパケットを抽出 tshark -r /mnt/c/tmp/test.pcap 'ip.addr==xx.xx.xx.xx'

  9. ケース2:Windows7/8.1の場合  大抵のご家庭に残っているWindows7 /Windows8.1  Windows7 にもいろいろなツールが入っているので これを使わない手はない ◦ netsh

     ただし、ちょっとだけ癖がある…

  10. 実際にnetshを使う-1  管理者権限でコマンドプロンプトを開いて  キャプチャ開始  適当なタイミングで終了 netsh trace start

    capture=yes tracefile=foo.etl netsh trace stop

  11. 実際にnetshを使う-2  ホントは先述のpktmonで解析できるはずなのですが… うまくいかないので、以下を参考に https://www.vwnet.jp/Windows/WS16/2017013001/PacketCapture.htm  Microsoft Network Monitor 3.4

    を取ってくる https://www.microsoft.com/en-us/download/details.aspx?id=4865  「Parser Profiles」→「NetworkMonitor Parsers」 →「Windows」に変更 で読みやすくなる

  12. 実際にnetshを使う-3  ETL2PCAPNG 自体は、色々コードが出回っています  GitHub 上に、MS謹製の変換ツールも出ている https://github.com/microsoft/etl2pcapng  コード署名の関係で、一回ウィルス対策ソフトに

    撃墜されたにがーい思い出が… netsh trace start capture=yes report=disabled netsh trace stop etl2pcapng.exe in.etl out.pcapng

  13. ケース3:一般的なLinuxの場合  Linuxの場合は…構成管理にうるさくなければ簡単  Linux にもいろいろなツールが存在するので これを使わない手はない ◦ tcpdump ◦

    wireshark  パッケージ管理は、よしなに…

  14. 実際にtcpdumpを使う  CentOS7のばやい  実際に使う yum install tcpdump # tcpdump

    /libpcap が入る tcpdump -A # 入出力したパケットが全部表示される tcpdump -w output.pcap # output.pcap に出力 ^Cで中断 tcpdump –r input.pcap # input.pcap の内容を表示

  15. 実際にWireSharkを使う  tcpdumpの結果をより絞り込みたいときはtsharkを使う  CentOS7のばやい  実際に使う yum install wireshark

    # wireshak /libpcap 他が入る # tcpdumpで採取したinput.pcap の内容を表示 tshark –r input.pcap “ip.src==192.168.1.23” -n

  16. ふりかえり  Linuxの場合一回libpcap+tcpdumpさえ入れておけば 後はいつでもキャプチャ可能な気がします  Windows Serverは…うーん、ETLからPCAPNGに変換でき るかどうかがキモ。 Windows Server2012/2016でいい感じにETLから変換でき

    る手順があれば教えてほしい…  まあWireShark入ってたら、有難がりながらWireShark使お う。それが一番楽