パケットキャプチャあれこれ

仕事当社ではネットワークシステムのトラブル対応というのを業務の一つに掲げています。

様々なアプローチでトラブルの解決を図るわけですが、その手法の一つにパケットキャプチャがあります。ネットワーク上を流れるパケットを取得して、どのような現象が発生しているのか分析する手法です。

パケットキャプチャで原因が判明するトラブルというのはだいたい3種類に分けられます。①回線の帯域が不足している。②アプリケーションのバグ。③ファイアウォールの設定ミス。細かいことをいうとこれらは、マクロ分析、ミクロ分析、流量分析という異なる分析手法で解明しますので、最初に発生状況からあたりを付けてから調査していくことになります。

お客様に依頼されていざパケットキャプチャをしようとして困ることは、お客様先に①スイッチングハブしかない。②お客様がセキュリティに無関心という点があります。

例えばあるWebサーバのトラブルを解析しようとするとき、そのサーバにWiresharkをインストールするわけにもいかないので、作業用のPCでパケットキャプチャすることになるわけですが、そのPCとサーバは完全に同じパケットを受け取る環境にしないと調査になりません。スイッチングハブというのは、本来の宛先にしかパケットを送ってくれないので、Webサーバ宛の通信というのはWebサーバにしか届きません。古くてスイッチングしてくれないハブだと全てのポートに同じようにパケットが届くので、キャプチャできますし、高価なスイッチングハブは、ミラーポート設定といって、他のポートにあえて特定のポート宛の通信をコピーしてくれる機能がついているのでキャプチャ可能です。しかし、普通のスイッチングハブにはこの機能はついていないので、大抵の場合はいきなりはキャプチャできません。私は、スイッチングしないギガビットハブという特殊なハブを持っているのでそれをサーバの手前に入れさせてもらって対応します。

そうするためには、一旦、サーバに接続されているLANケーブルを抜かなければならないので、サービスが一時的に停止してしまいます。そうすると就業時間中はやれないということになりがちです。

 

セキュリティについては、以外と気にしないお客様が多いのです。どういうことかというと、パケットキャプチャの結果というのは、暗号化していない通信データは全て復元できてしまう危険な代物です。これを持ち帰ってしまうと、重大な営業秘密を持ち帰ってしまうことになりかねません。なので、契約書を交わしたうえで、現地では、お客様監視の上で作業を行って、監視の上でキャプチャファイルを削除して帰りたいのですが、勝手にやってくれ、という言われることが多いです。

別に悪さをするつもりはありませんが、その会社が何らかの経路で情報漏えいをしてしまった場合に、まっさきに疑われてしまう可能性があります。そちらは気にしないかもしれないけどこちらが気にするんです、という感じですね。

 

コラム一覧へ