定番書の改訂第3版。TSharkについての詳しい解説が追加されたほか、大幅な加筆・修正が全編にわたって行われています。本書ではWiresharkで実際に取得したパケット情報の実例を使って問題やトラブルの解析方法を詳しく解説します。パケットのキャプチャファイルはWebからダウンロードでき、初心者も実際に試しながら理解を深めることができるので、ネットワーク管理の初心者に好適です。日本語版ではWin10PcapやUSBPcapについての解説を巻末付録として収録しました。Wireshark 2.x対応。
https://www.ohmsha.co.jp/book/9784873118444/
正誤表やDLデータ等がある場合はこちらに掲載しています
賞賛の声
監訳者まえがき
まえがき
1章 パケット解析とネットワークの基礎
1.1 パケット解析とパケットキャプチャツール
1.1.1 パケットキャプチャツールの評価
1.1.2 パケットキャプチャツールの仕組み
1.2 コンピュータはどのように通信するのか
1.2.1 プロトコル
1.2.2 7層のOSI参照モデル
1.2.3 ネットワークハードウェア
1.3 トラフィックの分類
1.3.1 ブロードキャスト
1.3.2 マルチキャスト
1.3.3 ユニキャスト
1.4 まとめ
2章 ケーブルに潜入する
2.1 プロミスキャスモードの使用
2.2 ハブで構成されたネットワークでのキャプチャ
2.3 スイッチで構成されたネットワークでのキャプチャ
2.3.1 ポートミラーリング
2.3.2 ハブの使用
2.3.3 タップの使用
2.3.4 ARPキャッシュポイゾニング
2.4 ルータで構成されたネットワークでのキャプチャ
2.5 パケットキャプチャツールを実際に設置する
3章 Wiresharkの概要
3.1 Wiresharkの歴史
3.2 Wiresharkの利点
3.3 Wiresharkのインストール
3.3.1 Windowsでのインストール
3.3.2 Linuxでのインストール
3.3.3 macOSシステムでのインストール
3.4 Wiresharkの基本
3.4.1 初めてのパケットキャプチャ
3.4.2 Wiresharkのメインウィンドウ
3.4.3 Wiresharkの設定画面
3.4.4 パケットの色分け
3.5 ファイルの設定
3.6 プロファイルの設定
4章 Wiresharkでのパケットキャプチャのテクニック
4.1 キャプチャファイルの操作
4.1.1 キャプチャファイルの保存とエクスポート
4.1.2 キャプチャファイルのマージ
4.2 パケットの操作
4.2.1 パケットの検索
4.2.2 パケットのマーキング
4.2.3 パケットの印刷
4.3 時刻の表示形式と基準時刻表示
4.3.1 時刻の表示形式
4.3.2 時間参照
4.3.3 時間調整
4.4 キャプチャオプションの設定
4.4.1 [Input(入力)]タブ
4.4.2 [Output(出力)]タブ
4.4.3 [Options(オプション)]タブ
4.5 フィルタを使う
4.5.1 キャプチャフィルタ
4.5.2 表示フィルタ
4.5.3 フィルタの保存
4.5.4 表示フィルタのツールバーへの追加
5章 Wiresharkの高度な機能
5.1 ネットワークのエンドポイントと対話
5.1.1 エンドポイントの統計を見る
5.1.2 ネットワークの対話を見る
5.1.3 エンドポイントと対話から通信量が多い機器を識別
5.2 プロトコル階層統計
5.3 名前解決
5.3.1 名前解決を有効にする
5.3.2 名前解決の欠点
5.3.3 専用のhostsファイルを使う
5.3.4 名前解決を手動で行う
5.4 プロトコル分析機構
5.4.1 分析機構の変更
5.4.2 分析機構のソースコードを見る
5.5 ストリームの表示
5.5.1 SSLストリームの表示
5.6 パケット長
5.7 グラフ表示
5.7.1 IOグラフを見る
5.7.2 往復遅延時間(ラウンドトリップタイム)グラフ
5.7.3 フローグラフ
5.8 エキスパート情報
6章 コマンドラインでのパケット解析
6.1 TSharkをインストールする
6.2 tcpdumpをインストールする
6.3 パケットをキャプチャし保存する
6.4 出力を操作する
6.5 名前解決
6.6 フィルタを使う
6.7 TSharkの時刻表示形式
6.8 TSharkの統計機能
6.9 TSharkとtcpdumpの違い
7章 ネットワーク層プロトコル
7.1 ARP(Address Resolution Protocol)
7.1.1 ARPパケットの構造
7.1.2 パケット1:ARPリクエスト
7.1.3 パケット2:ARPレスポンス
7.1.4 gratuitous ARP
7.2 IP(Internet Protocol)
7.2.1 IPv4(インターネット・プロトコル・バージョン4)
7.2.2 IPv6(インターネット・プロトコル・バージョン6)
7.3 ICMP
7.3.1 ICMPパケットの構造
7.3.2 ICMPのタイプとコード
7.3.3 エコー要求とエコー応答
7.3.4 traceroute
7.3.5 ICMPv6
8章 トランスポート層プロトコル
8.1 TCP
8.1.1 TCPパケットの構造
8.1.2 TCPポート
8.1.3 TCPの3ウェイハンドシェイク
8.1.4 TCPのティアダウン(切断)
8.1.5 TCPリセット
8.2 UDP
8.2.1 UDPパケットの構造
9章 知っておきたい上位層プロトコル
9.1 DHCP
9.1.1 DHCPパケットの構造
9.1.2 DHCP更新処理
9.1.3 DHCPのリース更新
9.1.4 DHCPオプションとメッセージタイプ
9.1.5 DHCPv6
9.2 DNS
9.2.1 DNSパケットの構造
9.2.2 単純なDNSクエリ
9.2.3 DNSの問い合わせタイプ
9.2.4 DNSの再帰
9.2.5 DNSゾーン転送
9.3 HTTP
9.3.1 HTTPでブラウズする
9.3.2 HTTPでデータをアップロードする
9.4 SMTP
9.4.1 メールの送受信
9.4.2 メールの追跡
9.4.3 SMTPで添付ファイルを送る
9.5 まとめ
10章 現場に即したシナリオの第一歩
10.1 Webコンテンツが表示されない
10.1.1 ケーブルへの潜入
10.1.2 パケット解析
10.1.3 学んだこと
10.2 応答しない天気予報サービス
10.2.1 ケーブルへの潜入
10.2.2 パケット解析
10.2.3 学んだこと
10.3 インターネットに接続できない
10.3.1 ゲートウェイ設定問題
10.3.2 不適切なリダイレクト
10.3.3 外部の問題
10.4 不安定なプリンタ
10.4.1 ケーブルへの潜入
10.4.2 パケット解析
10.4.3 学んだこと
10.5 孤立する支社
10.5.1 ケーブルへの潜入
10.5.2 パケット解析
10.5.3 学んだこと
10.6 ソフトウェアデータの破損
10.6.1 ケーブルへの潜入
10.6.2 パケット解析
10.6.3 学んだこと
10.7 まとめ
11章 ネットワークの遅延と戦う
11.1 TCPのエラーリカバリ機能
11.1.1 TCP再送
11.1.2 重複ACKと高速再送
11.2 TCPのフロー制御
11.2.1 ウィンドウサイズの調整
11.2.2 ゼロウィンドウ通知によるデータフローの一時停止
11.2.3 TCPスライディングウィンドウの実例
11.3 TCPエラー制御とフロー制御パケット
11.4 高遅延の原因を突き止める
11.4.1 正常な通信
11.4.2 通信の遅延:回線遅延
11.4.3 通信の遅延:クライアントの遅延
11.4.4 通信の遅延:サーバの遅延
11.4.5 遅延を見つけるフレームワーク
11.5 ネットワークベースラインの確立
11.5.1 サイトのベースライン
11.5.2 ホストベースライン
11.5.3 アプリケーションベースライン
11.5.4 ベースラインについての追記
11.6 まとめ
12章 セキュリティ問題とパケット解析
12.1 偵察
12.1.1 SYNスキャン
12.1.2 OSフィンガープリント
12.2 トラフィック操作
12.2.1 ARPキャッシュポイゾニング
12.2.2 セッションハイジャック
12.3 マルウェア
12.3.1 Operation Aurora
12.3.2 リモートアクセス型のトロイの木馬
12.4 エクスプロイトキットとランサムウェア
12.5 まとめ
13章 無線LANのパケット解析
13.1 物理面での考察
13.1.1 一度に1つのチャンネルをキャプチャする
13.1.2 無線LANの電波干渉
13.1.3 電波干渉を検出、解析する
13.2 無線LANカードのモード
13.3 Windows上での無線LANのパケットキャプチャ
13.3.1 AirPcapの設定
13.3.2 AirPcapを使ったパケットキャプチャ
13.4 Linux上での無線LANのパケットキャプチャ
13.5 802.11パケットの構造
13.6 [Packet List(パケット一覧)]ペインに無線LANの情報を追加する
13.7 無線LAN特有のフィルタ
13.7.1 特定のBSSIDでフィルタリング
13.7.2 パケット別のフィルタリング
13.7.3 周波数によるフィルタ
13.8 無線LANプロファイルの保存
13.9 無線LANのセキュリティ
13.9.1 WEP認証の成功
13.9.2 WEP認証の失敗
13.9.3 WPA認証の成功
13.9.4 WPA認証の失敗
13.10 まとめ
付録A 推薦文献
A.1 パケット解析ツール
A.1.1 CloudShark
A.1.2 WireEdit
A.1.3 Cain & Abel
A.1.4 Scapy
A.1.5 TraceWrangler
A.1.6 Tcpreplay
A.1.7 NetworkMiner
A.1.8 CapTipper
A.1.9 ngrep
A.1.10 libpcap
A.1.11 Npcap
A.1.12 hping
A.1.13 Python
A.2 パケット解析に役立つ情報源
A.2.1 Wiresharkホームページ
A.2.2 Practical Packet Analysisオンラインコース
A.2.3 SANS Security Intrusion Detection In-Depth Course
A.2.4 Chris Sandersのブログ
A.2.5 Brad DuncanのMalware Traffic Analysis
A.2.6 IANAのWebサイト
A.2.7 W. Richard Stevenの『TCP/IP Illustrated』シリーズ
A.2.8 『The TCP/IP Guide』(No Starch Press)
付録B パケットを知る
B.1 パケット表示
B.2 パケット構造図の利用
B.3 謎のパケットを調べる
B.4 まとめ
付録C Win10Pcap−WinPcap強化版ドライバの紹介
C.1 Win10Pcapとは何か
C.1.1 Win10Pcapの概要
C.1.2 Win10Pcapの入手
C.1.3 WinPcapの問題点
C.2 Win10Pcapのインストールから利用まで
C.3 WinPcapとの共存
付録D USBPcapを用いたUSBインターフェース通信のキャプチャ
D.1 USBPcap概要
D.2 USBデバイスの通信データキャプチャを行うための従来手法と課題
D.3 USBPcapのインストール方法
D.4 解析方法1:WiresharkからUSBPcapを呼び出す
D.5 解析方法2:USBPcapCMD.exeでキャプチャする
D.6 まとめ
索引
コラム目次
「本物の」ハブを見つける
ネットワークマップ
WHOIS検索でIPアドレスの所有者を判断する