Windowsネットワークの「動き」を読むトラブル解決術

シリーズ特集トラブルに強くなる！
Windowsネットワークの
「動き」
を読むトラブル解決術
Windows ネットワーク，トラブル対策，パケット・キャプチャ
「トラブルに強くなる！」をテーマに3 回連続のシリーズ特集を
企画した。第1 弾となる今回は，ネットワークに焦点を当てる。
ネットワーク・トラブルの経験者なら，
「パケット・キャプチャ」
という手法を聞いたことがあるだろう。ネットワーク上でやり取
りされる通信パケットの「動き」を直接調べるトラブル解決法だ。
一般に「パケット・キャプチャは難しい」と思われがちだが，それ
は必ずしも正しくない。実際には簡単な分析をするだけで，非常
に有用な情報を得られる例が多々ある。本特集は，ネットワー
ク・トラブル対応のスキルアップを目指す管理者向けに，現場で
即効性のあるパケット・キャプチャの基本テクニックを紹介する。
（NTT データビジネス開発事業本部シニアエキスパート高橋基信）
Windowsネットワークのトラブル
めたり，ネットワーク・コマンドを実行
シューティングの現場では，原因追及
したりしても分からない情報が簡単に
の過程で意外な事実に出くわすことが
得られることも多い。
少なくない。システム・インテグレー
例えばある企業で，電子メール・サ
タの技術サポート部門に勤める筆者
ーバーから同報メールを送信すると
は，日々，顧客から依頼があればそう
き，パフォーマンスが異常に悪くなる
また，Windowsクライアントから
したトラブルシューティングに取り組
という問題が起こったことがある。詳
FTPサーバーへの接続が遅いという
んでいる。
しく調べてみると，なんと原因はNet-
トラブルが起こったこともあった。経
その経験から言って，
「パケット・キ
BIOSの通信だった。常識で考えれば
験的にDNS（ドメイン・ネーム・システ
ャプチャ」は非常に有用なネットワー
電子メールとNetBIOSの間に接点は
ム）が関係していると感じたが，現場
ク・トラブル解決法の1つである。ネッ
ないと思うだろうが，現実にはそうい
は「DNS の設定はしていないので，
トワーク上を流れるパケット
（フレー
う障害が起こっていた。コンピュータ
DNSが原因になることはあり得ない」
ム）
の内容を直接調べて，
「今，ネット
や通信機器の設定を調べるだけでは到
という。そこで実際に調べてみたとこ
ワークで何が起こっているのか」を詳
底解決できそうもない問題だが，パケ
ろ，やはりDNSの通信が発生してい
細かつ確実に把握できるからだ。いく
ット・キャプチャなら確実に事態を把
た。筆者にとっては予想の範囲だった
らWindowsのネットワーク設定を眺
握できる
（詳細は102ページの事例①を
が，現場の担当者にしてみれば全く予
92 日経Windowsプロ 2004年 4月（no.85）
参照のこと）
。
イラスト：エステム
想外の結果だったようだ。この例のよ
く意識することのない下層の通信デー
礎知識とWindowsの標準ツールだけ
うな思い込みはしばしばトラブルを
タを収集するので，
「難しい」
というイ
でもパケット・キャプチャを実施でき
長引かせてしまう。だが，パケット・
メージを持たれているかもしれない。
る。技術的にそう難しくはないし，時
キャプチャならデータをざっと見ただ
また，高価なソフトが必要という印象
間もあまりかからない。ワンランク上
けでDNSの通信を簡単に確認できる
もあるだろう。
のトラブルシューティング・スキルを
（詳細は104ページの事例②を参照）
。
パケット・キャプチャは，普段は全
しかし，例に挙げたような通信の存
在を確認する程度なら，TCP/IPの基
身に付けたいなら，ぜひパケット・キ
ャプチャに挑戦してみてほしい。
93
日経 Windowsプロ 2004 年 4月
（no.85）
ツール編
Windows標準やフリーのツールで
パケット・キャプチャを実践しよう
「パケット・キャプチャ」
とは，図1の
ようにネットワーク上を流れている通
＊
ーク・セグメント内の通信を網羅的に
析時間もそれほどかからないだろう。
俯瞰（ふかん）
できる。
ケース・バイ・ケースではあるが，これ
信パケットの内容を直接取得（キャプ
これらの特徴により，実際にネット
チャ）する手法である。例えば，異常
ワークでどのような通信が発生してい
が起こったクライアントとサーバー間
るのか，その動きを確実に把握でき
の通信パケットをすべてキャプチャし，
るようになる。
から紹介する実践レベルの解析なら，
通常は1時間程度で実施できる。
どんなキャプチャ・ツールを使うか？
何が問題なのかを直接調べるトラブル
解決法だ。
「キャプチャ・ツール」
と特
＊通信パケット
ネットワークでやり取りするデータを一定
の形式に整えたもの。パケットは一般に
ヘッダー，データ，
トレーラで構成され，
ヘッダーにはあて先と送信元のアドレス
のほか，パケットの長さや順番などを示
す各種の制御情報を持つ。イーサネット
キャプチャ・データの解析は難しい？
一般に，パケット・キャプチャで収
さて，パケット・キャプチャを試し
フェース・カードがあれば利用できる。
集したデータ
（キャプチャ・データ）
を解
てみるには，とにかくツールがなけれ
パケット・キャプチャは，ネットワ
析するには，それなりにプロトコルに
ば始まらない。キャプチャ・ツールに
ークの下層のレイヤーで情報を収集す
関する知識が必要になるのは間違いな
は高価な専用ハードウエア製品から
るので，イーサネット・フレームやIP
い。少なくとも，TCP/IP上で動作す
Windowsパソコン上で動かすフリー
パケットのヘッダーなど，通常意識し
るプロトコルの名前と役割くらいは理
ソフトまで様々なものがあるが，ここ
ない詳細な通信内容を確認できる。ま
解しておいてほしい。そうしたTCP/
では筆者が主に利用している2つのキ
た，LANインターフェース・カードを
IPの基礎知識がしっかり身に付いてい
ャプチャ・ツールとその特徴を紹介す
「プロミスキャス・モード」
という特殊
れば，前述した事例のように，特定の
ることにしよう。
な動作モードに切り替えれば，ネット
通信の存在を確認する程度なら十分に
ワーク上を流れている他のコンピュー
対応できるはずだ。
殊なモードで動作するLANインター
＊
タあてのパケットもキャプチャ可能で
パケットをざっと確認するだけでも
ある。後述するように，同一ネットワ
十分に有用な情報が得られるので，解
キャプチャ・
データ
クライアント2
サーバー
クライアント１
パケット・キャプチャ
（プロミスキャス・モード）
パケット
94 日経Windowsプロ 2004年 4月（no.85）
1つ目のキャプチャ・ツールは，マイ
図1●パケット・キャプチャの概念
LANインターフェース・カードを
「プロミス
キャス・モード」で動作させると，ネットワ
ーク上のすべてのパケットを読み込み可
能となる。キャプチャ・ツールはこの状態
でパケットを取得し，保存する。
キャプチャ・ツール
プロミスキャス・モードでパケットを
取得すれば，他のコンピュータ同士
の通信もキャプチャ可能
マイクロソフトが提供する
ネットワーク・モニター
シリーズ特集
Windowsネットワークの「動き」を読むトラブル解決術
では同じ概念を「フレーム」
と呼ぶ。な
お，本記事では説明を平易にするため，
厳密には「フレーム」
と記載すべきところ
を，あえて「パケット」
と記載している部
分がある。
＊プロミスキャス・モード
Promiscuous Mode。
「プロミスカス・
モード」
と表記されることも多い。通常，
LANインターフェース・カードは，パケッ
トのあて先を見て，自分のMACアドレ
スあてのものだけを読み込む。しかし，
プロミスキャス・モードという特殊な動作
クロソフトの「ネットワーク・モニタ
ー」である。netmon.exeというファイ
ル名のため，よく
「ネットモン」
と呼ば
れることがある。古くからWindows
サーバーOSに同こんされているため
表1●マイクロソフト製品に付属するネットワーク・モニターの種類
種類
インストール方法
特徴
WindowsサーバーOSに
付属するネットワーク・モニ
ター
OSコンポーネントの1つ。Windows
コンポーネントの「ネットワークモニタツ
ール」
をインストールすれば利用できる
パケットのキャプチャとGUI による各種
解析操作が可能。ただし，プロミスキャ
ス・モードでは動作しない
Systems Management
Server（SMS）
に付属す
るネットワーク・モニター
SMS の一部としてインストールされる
基本的にはWindows サーバーOS に付
属するネットワーク・モニターと同様だが，
プロミスキャス・モードでパケット・キャプ
チャが可能。Windows NT 系のクライ
アントOS にもインストールできる
Windows XPに付属する
Netcap.exe
Support Tools に含まれる
CUIでパケット・キャプチャのみ可能。解
析用のインターフェースは付属していない
に使い慣れていることや，フィルタリ
ング処理が直観的で使いやすいため，
筆者は主にキャプチャ・データの解析
＊MACアドレス
ネットワーク上で，LANインターフェー
ス・カードなどのネットワーク機器を識別
するためのアドレス。機器の出荷時に，
メーカーが機器固有のMACアドレスを
割り当てている。イーサネットはMAC
アドレスを使って通信を制御する。
モードでは，あて先MACアドレスが自
分ではなくてもLANインターフェース・
カードは無差別にパケットを読み込む。
これにより，ネットワーク上を流れるすべ
てのパケットを取得して，
トラブルの原因
を解析できるようになる。
用ツールとして使っている。
WindowsサーバーOSに同こんされ
たネットワーク・モニター以外にも，
ることしかできない。
るSMB（サーバー・メッセージ・ブロッ
マイクロソフトは表1のようなネット
ワーク・モニターを提供している。マ
ーが意図的に対応していないと思われ
高機能なフリーソフトEthereal
ク）パケットの認証部分（パスワード情
報を含む）
も解析できる点などが優れ
イクロソフトが提供するキャプチャ・
この弱点を補うために，筆者はフリ
ツールの中では，システム運用管理ツ
ーソフトを併用している。2つ目に紹
ールSystems Management Server
介する
「Ethereal」はWindows，Linux
さらにEtherealが便利なのは，多
（SMS）
に付属するネットワーク・モニ
をはじめとする各種OS上で利用可能
様なキャプチャ・ツールのデータ形式
ターが最も高機能である。しかし，
なフリーソフトである。一般的な
を認識でき，データ形式の相互変換が
SMSのユーザーでなければ利用でき
Linuxの市販パッケージには同こんさ
可能な点だ。例えば，Etherealでキ
ないのが難点だ。
れている。Windows版のモジュール
ャプチャしたデータを，ネットワー
一方， Windows XPの Support
はインターネットのWebサイト
（http:
ク・モニターが読み込めるファイル形
Toolsには「netcap.exe」
というキャプ
//www.ethereal.com/）
からダウンロ
式で出力する機能がある。また，ネッ
チャ・ツールが含まれている。ただし，
ードできる。
トワーク上にUNIXサーバーがある場
ている。
このツールはパケットをキャプチャす
主に，パケットをプロミスキャス・
合にも，
「tcpdump」や「snoop」
とい
る機能に特化しているため，キャプチ
モードでキャプチャするときのツール
ったUNIX用キャプチャ・ツールで取
ャ・データを解析するためのインター
としてEtherealを利用し，キャプチ
得したデータをネットワーク・モニタ
フェースは備えていない。
ャ・データを解析するときのツールと
ー形式に変換するコンバータとしても
してWindowsサーバーOSのネットワ
利用価値がある。
入手しやすさと機能のバランスの良
さでは，WindowsサーバーOSに同こ
ーク・モニターを使っている。
このように高機能なツールが無償で
んされたネットワーク・モニターが最
Etherealはプロミスキャス・モード
提供されているのだから使わない手は
も使いやすいと言えるだろう。ただ
に対応している上，各種プロトコルを
ない。筆者はネットワーク・モニター
し，このツールはプロミスキャス・モ
積極的にサポートしているので，解析
に慣れているのでEtherealと併用し
ードでは動作しない。トラブルに関係
能力もネットワーク・モニター以上で
ているが，これからパケット・キャプ
しているコンピュータ上で，自マシン
ある。Windowsネットワークのパケ
チャを勉強していく方ならEtherealだ
あてに届いたパケットをキャプチャす
ット解析でも，ネットワーク・モニタ
けでも十分であろう。
95
日経 Windowsプロ 2004 年 4月
（no.85）
キャプチャ編
ツールの操作は非常に容易だが
キャプチャの準備はしっかりと
では，実際にパケット・キャプチャ
第1に，
「調査対象マシンのTCP/IP
報」を調べておいたほうがいい。トラ
の手順とその際の注意点について，筆
設定」を確認する必要がある。ネット
ブルの内容によるが，例えば「Win-
者が日頃心掛けていることを説明して
ワークのトラブルシューティングでは，
dowsのファイル・サーバーに接続で
いこう。パケット・キャプチャの主な
通信にかかわるコンピュータのTCP/
きない」
という場合なら，ファイル・サ
作業手順は図2の通りである。キャプ
IP設定を最初に確認するのが定石だ。
ーバーが属しているドメインの情報
チャ・ツールの操作自体は容易だが，
Windowsマシンならコマンド・プロン
や，どのようなアカウントで接続した
準備作業をしっかりしておく必要があ
プトで「ipconfig /all」を実行する。
か，といった情報が必要だ。
る。これを怠ると，いざ解析しようと
2つ目の情報として，
「ネットワーク
しても，うまく行かないことがあるの
構成図」を用意しよう。パケットを解
で注意してもらいたい。
析するには，ネットワークの構成やIP
ステップ2
キャプチャ前の準備作業
アドレス，コンピュータ名などの情報
次は正確なキャプチャ・データを取
が不可欠である。特に，予想外のサー
得するための事前準備である。システ
バーに通信が発生しているケースがよ
ム/ネットワーク環境を整理した上で，
キャプチャ・データだけでトラブル
くあるので，DNSサーバーやメール・
適切な位置にキャプチャ・ツールを配
の原因を解析できる場合もあるが，
サーバーなど，各種サーバーのIPアド
置する必要がある。
様々な情報を突き合わせれば一層効果
レスはとても重要だ。ネットワーク構
的なトラブルシューティングが可能に
成図は，パケットをキャプチャする位
なる。次の3つの情報は，事前に必ず
置を検討する際の基礎資料になる。
ステップ1
ネットワークの基礎情報の収集
用意しておこう。
最後に「ネットワークの上位層の情
ステップ1 ネットワークの基礎情報の収集
a. 調査対象マシンのTCP/IP設定
b. ネットワーク構成図
c. ネットワークの上位層の情報
キャプチャ・
ツール
ステップ2 キャプチャ前の準備作業
a. キャプチャ位置の決定
b. 時刻の同期
c. キャッシュのクリア
d. 秘密情報の取得に関する了解
ステップ3 パケット・キャプチャの実施
＜キャプチャ時の留意点＞
a. 関連作業を記録する
b. 正常系と異常系の比較
c. フィルタせずにキャプチャする
ステップ4 キャプチャ・データの解析
1. キャプチャ・データを見やすく表示
2. 表示するパケットのフィルタリング
3. 解析
図2●パケット・キャプチャの作業の流れ
96 日経Windowsプロ 2004年 4月（no.85）
（a）キャプチャ位置の決定
まず初めに，パケットをキャプチャ
する場所を決める。基本的に，トラブ
ミラー・ポートはスイッチ
を通るすべてのパケット
のコピーを取得可能
サーバー
キャプチャ・データを
取得したい
コンピュータ
一般のポートでパケット・
キャプチャはできない。接
続しているコンピュータあ
てのパケットしか流れてこ
ないため
スイッチ
キャプチャ・
データを取
得したいコン
ピュータ
キャプチャ・
ツール
クライアント１
クライアント2
図3●スイッチを使ってキャプチャ・ツールを接続する場合は必ず「ミラー・ポート」を使う
スイッチの一般のポートにキャプチャ・ツールをつないでも，取得したいパケットは1つも流れてこない。
シリーズ特集
Windowsネットワークの「動き」を読むトラブル解決術
＊シェアード・ハブ
最も基本的なハブ（ネットワークの集線
装置）
。
「リピータ・ハブ」
とも呼ばれる。
あるポートから届いたパケットは，他の
すべてのポートに転送される。
＊スイッチ（スイッチング・ハブ）
スイッチング機能を備えたハブ。ハブに
接続したコンピュータのMACアドレス
を記憶し，イーサネット・フレームに含ま
れるあて先MACアドレスを見て，その
コンピュータが接続されているポートに
だけパケットを転送する
（MAC アドレ
ス・レベルのブロードキャストはすべての
ポートに転送する）
。シェアード・ハブと
比べてLANの帯域幅を有効に利用で
きる。
バッファ容量を指定（既定値は1Mバイト）
キャプチャ開始/停止
バッファ使用率
取得対象のLANインターフェースを指定
図4●ネットワーク・モニターのキャプチャ画面
パケットを取得したいLANインターフェースとキャプチャ・データを保存するバッファ容量を設定したら，
［キャプチャ］
−
［開始］
でパケット・キャプチャを始める。キャプチャを
停止した後に
［キャプチャデータの表示］
をクリックすれば，ネットワーク・モニターの解析画面
（図6）
が表示される。
ルに関係するコンピュータ同士の通信
パケットのヘッダーに含まれるあて先
れらの場合は当該コンピュータが送受
経路のどこかである。ネットワーク・
（MACアドレス）
を見て，該当するコ
信する通信以外はキャプチャできない。
セグメントが1つしかない場合は，プ
ンピュータが接続されているポートに
ロミスキャス・モードでキャプチャす
しかパケットを転送しない
（図3）
。
（b）時刻の同期
るツールを1カ所で動作させればいい
つまり，スイッチのポートにキャプ
トラブルに関係する
（と思われる）
コ
が，ルーターなどで区切られている場
チャ・ツールをつなげても，キャプチ
ンピュータとキャプチャ・ツールを動
合は複数の場所にキャプチャ・ツール
ャしたいパケットが全然流れてこない
かしているコンピュータの時刻は，で
（ブロードキャスト・パケットしかな
きる限り同期させておくこと。時刻同
い）
。そういうとき，中級クラス以上
期ができない場合でも，どのくらい時
ド・ハブが設置されていれば，その空
のスイッチなら全パケットを取得可能
刻がずれているのか確認しておきた
きポートにキャプチャ・ツール
（が動作
なミラー・ポートが用意されているの
い。同期した時刻と実際の時刻とのズ
するコンピュータ）
をつなげばいい。そ
で，そこにキャプチャ・ツールをつな
レも把握する必要がある。
うすれば，ハブを通るすべてのパケッ
げよう。
を設置することが望ましい。
もし，通信経路の途中にシェアー
＊
この準備作業を怠ると，キャプチャ
ミラー・ポートがないか使えないと
後に各種の情報を突き合わせながら原
きは，スイッチのポートとキャプチャ
因を解析する際，時刻のズレにより関
イッチ（スイッチング・ハブ）が導入さ
したいコンピュータの間に予備のシェ
連性を把握しにくくなる。場合によっ
れていることが多いので注意が必要
アード・ハブを臨時に設置してキャプ
ては，誤った結論を導きかねない。
だ。シェアード・ハブは1つのポート
チャ・ツールをつなぐか，キャプチャ
に届いたパケットを他のすべてのポー
したいコンピュータ上にキャプチャ・
トに中継するのに対して，スイッチは
ツールをインストールする。ただし，こ
トを取得できるので簡単である。
ただし，最近のネットワークにはス
＊
（c）キャッシュのクリア
プロトコルによっては，何らかのキ
97
日経 Windowsプロ 2004 年 4月
（no.85）
＊リゾルバ・キャッシュ
リゾルバはDNS（ドメイン・ネーム・シス
テム）
のクライアント機能を指す。リゾル
バ・キャッシュは，DNSサーバーに問い
合わせた名前解決の結果をクライアント
側で一時保存するキャッシュのこと。
＊キャッシュ・サーバー
Webサーバー上のコンテンツを一時的
に格納することによって，クライアントか
らのアクセスを高速化したり，Webサー
バーの負荷を軽くしたりする機能を持つ
サーバー。
＊PPTP
ポイント・ツー・ポイント・トンネリング・プ
ロトコル。インターネット経由で情報をや
り取りしてもセキュリティを確保できるよ
うに，従来のPPP（ポイント・ツー・ポイ
ント・プロトコル）
に暗号化や認証の機能
を追加したもの。
ャッシュにより通信量の削減を図って
ドなどの秘密情報が含まれる場合もあ
る。図4はネットワーク・モニターを
いるものがある。DNSのリゾルバ・キ
る。例えば，パスワードが平文で送受
起動したときの画面である。
＊
＊
ャッシュやキャッシュ・サーバーに
信されるプロトコルで電子メールを利
操作そのものは非常に簡単だ。パケ
よるHTTPのキャッシュなどだ。トラ
用している場合や，暗号化していない
ット・キャプチャを開始するときは，
ブルの状況によるが，キャッシュがあ
HTTPで機密情報をやり取りしている
メニューから
［キャプチャ］
−
［開始］
を
ると本来あるべき通信が発生せず，不
場合などである。キャプチャ・データ
クリックする。キャプチャを終了する
完全な解析しかできない恐れがある。
を解析する過程でこうした情報を目に
ときは
［キャプチャ］
−
［停止］
をクリッ
そのため，トラブルに関連するプロ
することになるため，事前にユーザー
クすればよい。
トコルのキャッシュの設定を確認し，
の了解をもらっておこう。
合には，次のような点に注意してもら
キャッシュを無効にするか，キャッシ
ュをクリアした上でキャプチャを実行
したほうがよい。もちろん，キャッシ
ュされているときだけ発生するトラブ
ルを解析する場合はこの限りでない。
（d）秘密情報の取得に関する了解
キャプチャ・データには，パスワー
パケット・キャプチャを実行する場
ステップ3
パケット・キャプチャの実施
準備が整ったら，実際にパケットを
キャプチャしてみよう。
いたい。まず，分析対象のマシンが
RAS（リモート・アクセス・サービス）
サーバーとして構成されている場合や
PPTP ＊がインストールされている場
初めに，WindowsサーバーOSに標
合などである。LANインターフェー
準搭載されているネットワーク・モニ
スが複数あるため，この中から取得対
ターでキャプチャする方法を説明す
象のインターフェースを選択する必要
がある。メニューで
［キャプチャ］
−
［ネ
ットワーク］
と選択すると図4左下の画
面が表示されるので，LANインター
フェースに割り当てられているMAC
アドレスを元に取得対象を指定する。
1［Capture］−［Start］を選択
できれば試しにキャプチャして，動作
2［Interface］を確認し，
［OK］で開始
を確認するとよい。
3［Stop ］で終了
ットワーク・モニターはキャプチャし
バッファ容量にも注意が必要だ。ネ
たデータをメモリー上に格納するが，
デフォルト設定ではその上限が1Mバ
イトになっている。バッファがあふれ
ると，古いキャプチャ・データから順
に捨てられていく。
パケット・キャプチャの内容にもよ
るが，バッファ容量はあらかじめ拡張
図5●フリーソフトのEthereal
によるパケット・キャプチャの
実行手順
98 日経Windowsプロ 2004年 4月（no.85）
しておいたほうがよい。もし，稼働中
のサーバー上でキャプチャを実行する
シリーズ特集
Windowsネットワークの「動き」を読むトラブル解決術
このボタンで各ペインの表示/非表示を選択
ような場合なら，とりあえず32M〜
概要ペイン
64Mバイトの容量を確保してみよう。
この程度なら，他のアプリケーション
やシステムの挙動に致命的な影響を与
詳細ペイン
える危険性は低いと思われる。
なお，キャプチャを長時間実行する
ときなどにバッファの容量不足が気に
16進ペイン
なる場合は，バッファが一杯になった
時点でキャプチャを停止するか，特定
の通信が発生した時点でキャプチャを
開始する，といった設定により対処で
図6●ネットワーク・モニターの解析画面
きる場合もある。
基本操作はEtherealでも同じ
一般に次のような点に注意することが
スで，トラブルの原因がサーバーやネ
肝心である。
ットワークにある場合，パケットの中
パケットのキャプチャ工程にEthe-
まず，パケット・キャプチャに関連
身に必ず違いが出る。違いが発生した
realを使う場合でも，基本的な操作は
する他の作業を記録しておこう。例え
通信の周辺を追求していけば，トラブ
Windowsサーバー標準のネットワー
ばログオン時の異常を調べるときは，
ルシューティングの鍵が必ずといって
よいほど見つかるものだ。
ク・モニターと同じである
（図5）
。取得
対象のLANインターフェースさえ間
● 10時5分6秒：ユーザー名とパスワ
「キャプチャ時にパケットをフィル
違えなければ，キャプチャ操作自体は
ードを入力して
［OK］
ボタンを押す。
タリングしないこと」
も重要だ。もし，
比較的簡単だ。
● 10時5分18秒：パスワードが違って
フィルタで除外されたパケットの中に
いるという画面が表示。
トラブル解決の鍵が含まれていた場
タはファイルに保存されるので，ネッ
● 10時5分20秒：
［OK］
ボタンを押し
合，パケット・キャプチャを再度実施
トワーク・モニターのようにバッファ
て画面を閉じる。
することになるからだ。
Etherealの場合，キャプチャ・デー
明らかに無関係と思われるコンピュ
容量による制限はない。ただし，ファ
イル容量があまり巨大になると解析が
といった具合に，キャプチャ・ツール
ータが大量の通信を行っている場合な
大変なので，パケット・キャプチャを
以外のところで行った操作やその結果
ど，その通信を取得すべきかどうか迷
長時間実施する場合は，キャプチャ・
を時系列で記録する。キャプチャ・デ
う場合があるだろう。しかし，トラブ
データを複数のファイルに自動で分割
ータと突き合わせれば，原因を特定す
ルシューティングの観点から「可能な
保存する設定がある。その場合は，図
る重要なヒントになる。
限り，すべてのパケットを取得するこ
5の中央の画面で
［Use ring buffer］
の
チェックボックスを有効にする。
次に，トラブルが発生する状況と発
生しない状況が明確な場合は，必ず両
方の状況でパケットを取得しよう。
キャプチャ時に注意すべきポイント
パケットをキャプチャするときは，
と」を前提とすべきである。
「ユーザーAからだと成功するが，ユ
ーザーBだと失敗する」
といったケー
ステップ4
キャプチャ・データの解析
パケットを適切にキャプチャした
99
日経 Windowsプロ 2004 年 4月
（no.85）
＊プロポーショナル・フォント
文字ごとに異なった幅情報を持つフォン
ト。フォント・ファイルの中に文字間隔を
調整する情報を格納し，画面上に見栄
えよく表示するためには必要となる。す
べての文字幅が等しいフォントを固定幅
フォントと呼ぶ。
ら，最後はキャプチャ・データを解析
の有無やパケット間の関連性を調べる
ャ・データを解析しやすくなる。ネッ
する段階だ。基本的な解析手順は，①
目的で利用する。本記事が対象とする
トワーク・モニターのデフォルト設定
様々な条件でパケットを絞り込み，②
初動捜査的な解析では，主にこのペ
では，図6のようにプロポーショナ
一覧表示により鍵となるパケットをピ
インを使った解析が中心となる。概要
ル・フォント＊で文字が表示されて非常
ックアップ，③必要に応じてそのパケ
を調べるためのものだが，逆に概要ペ
に見づらい上，あまり使わないMAC
ットのデータを精査する ―― となる。
インだけでも十分有用な情報が取得で
アドレスの項目がかなり長く表示され
解析が行き詰まって，別の切り口でパ
きるといえる。
ているなど，あまり使い勝手がよいと
ケットを解析したくなったら，絞り込み
詳細ペインは，概要ペインで選択し
の条件を変えて同じ手順を繰り返す。
た個々のパケットについて詳細な情報
ネットワーク・モニターでキャプチ
を表示する。通常は概要ペインで鍵と
まず，表示フォントを非プロポーシ
ャ・データを読み込んだ解析画面が図6
なるパケットをある程度絞り込んだ
ョナル・フォントにするとよい。ネッ
である。キャプチャ・データを一覧表
後，このペインでパケットの内容を吟
トワーク・モニターのメニューから
示した「概要ペイン」
，各キャプチャ・
味する。16進ペインにも16進数の生
［表示］
−
［フォント名］
を選択し，
［フ
データに関する
「詳細ペイン」
「16進ペ
データが表示されるが，本記事で解説
ォント名］画面で表示フォントを指定
イン」
という3つのペイン
（ウインドウ）
する範囲では意識する必要はない。
する。フォントや表示サイズは好みで
で構成されている。
概要ペインには，1行＝1パケット
はいえない。そこで筆者が薦める設定
を紹介する。
選べばよいが，筆者は「MSゴシック」
キャプチャ・データを見やすく表示
で各パケットの大雑把な内容や通信先
ネットワーク・モニターを利用する
などが表示される。本来は特定の通信
際に，画面表示を工夫するとキャプチ
を9ポイント程度のサイズで表示させ
るのが見やすいと思う。
次に各項目の表示幅を調節しよう。
解析時に重要な［時間］
［プロトコル］
［説明］欄を見やすくすることが目的で
ある。MACアドレスの項目を非表示
にする一方で，概要ペインの右のほう
にあるIPアドレス
（表示は［送信元/送
3［時間］欄を実際
の時刻に変更
2 概要ペインの項目
表示幅の調整
1 表示フォントの
変更とサイズ調整
信先のほかのアドレス］
）
もきちんと表
示されるようにするとよい。
最後に
［時間］欄の表示を実際の時刻
に変更する。デフォルトでは，キャプ
チャの開始時を0秒とした経過時間が
表示される。解析内容にも依存する
が，実際の時刻に設定しておけば，他
の場所で取得したキャプチャ・データ
との突き合わせが容易になる。［表
示］
−
［オプション］で起動するダイア
図7●表示を工夫してキャプチャ・データを見やすくしたネットワーク・モニターの解析画面
100 日経Windowsプロ 2004年 4月（no.85）
ログで設定する。上記のように表示内
シリーズ特集
Windowsネットワークの「動き」を読むトラブル解決術
［アドレス］欄の表記に注意（どのプロト
コルのアドレスになっているか）
指定プロトコルの上位レイヤーに位置
するプロトコルはすべて有効となる（こ
こではIP上の全プロトコルが有効）
［アドレス］タブで対象コンピュータを指定
［プロトコル］タブで対象プロトコルを指定
解析対象のコンピュータが送受信するパケットに限定するとよい
一度すべての設定を無効にした上で，解析したいプロトコルだけを有効にするとよい
図8●［アドレス］
タブと
［プロトコル］
タブで，無関係なコンピュータやプロトコルを除外する
容を見やすくした例が図7である。図
の場合，これだけで必要十分なパケッ
右の
［プロトコル］
タブで設定する。標
6と比べて，ひと目で見やすくなった
トに絞り込めるだろう。
準ではすべてのプロトコルが有効（表
解析対象のコンピュータを絞り込む
示対象）
なので，一度［すべて無効］
ボ
には，
［ディスプレイフィルタ］画面で
タンを押してから必要なプロトコルだ
［式］
ボタンを押し，表示された
［式］画
けを指定するほうが楽だろう。なお例
面の［アドレス］
タブで設定する
（図8
えば「IP」を有効にすれば，その上位
欠かせない処理は，不要なパケットの
左）
。最初は解析したい通信の送信元，
にある
「TCP」や「UDP」などのプロト
絞り込みだ。
「とりあえず関係なさそ
もしくは送信先のコンピュータを指定
コルも自動的に有効になる。
う」と考えるパケットを除外すれば，
して，その通信すべてを表示する設定
原因の解析が圧倒的に楽になる。もし
にするとよいだろう。
ことが分かる。
表示するパケットのフィルタリング
キャプチャ・データを解析する上で
トラブルシューティングのための解析
怪しいパケットが見つからなかったと
なお，フィルタの対象としてコンピ
きは，フィルタリングの仕方を変えて
ュータを指定する場合，
［アドレス］
タ
いよいよトラブルシューティングであ
みるといい。別のパケットを見れば，
ブにエントリが見つからないことがあ
る。ただし，どんなトラブルシューテ
トラブルの原因をつかめる可能性があ
る。そのような場合は次の作業により
ィングにも共通することであるが，パ
る。繰り返しになるが，フィルタによ
エントリを追加する必要がある。
ケット・キャプチャにも
「こうすれば必
ここまできちんと準備を整えれば，
る絞り込みはパケットのキャプチャ時
まず，概要ペインの送信元/送信先
に実行すべきではない。解析の視点を
コンピュータ欄の中からフィルタリン
変えたときには，再度キャプチャを実
グ条件に指定したいコンピュータを探
そこで次ページ以降，筆者が実際に
行しなければならないからだ。
す。次にそのコンピュータを右クリッ
経験した2つの事例を通して，パケッ
クし，メニューから
［アドレスの編集］
ト・キャプチャを使ったトラブルシュ
と無関係な
（と思われる）
コンピュータ
を選ぶ。表示された
［アドレス情報］画
ーティングの解決例を紹介する。注目
やプロトコルを除外することだ。これ
面で
［名前］欄に適当な名前を入力して
してほしいのは，パケットの概要デー
を押す。こうすると，
［式］画面
を設定するには，
［表示］
−
［フィルタ］［OK］
タを一覧表示するだけでも非常に有用
を選び，
［ディスプレイフィルタ］画面
の
［アドレス］
タブに新しいエントリが
な情報が得られる点と，常識では思い
で参照したいプロトコルと解析対象の
表示されるはずだ。
も及ばない意外な原因でも，パケッ
フィルタリングの基本は，トラブル
コンピュータを指定すればよい。多く
プロトコルのフィルタリングは図8
ず解決する」
という必勝パターンは存
在しない。
ト・キャプチャなら追跡できる点だ。
101
日経 Windowsプロ 2004 年 4月
（no.85）

Download Report