前回のエントリー「
ポートを開いているヤツ(プロセス)は誰だ?」で、
ActivePorts だけでは、
セッションを張ろうとしている場合には、
そのリモート側のIPアドレスとポート番号を確認できないことについて書いた。
これができるのが、いわゆるパケットキャプチャー(capture)ソフト または
パケットスニファー(Sniffer)ソフトといわれるものである。
通信パケットのキャプチャーソフトにはいくつかあるが、
その代表的なものの一つが
Ethereal
である。
Windows版をはじめ、
FeeBSD や Mac OS X 等のBSD系、
各種Linuxディストリビューション、Solaris、AIX、HP-UX 等々、
ありとあらゆるプラットフォームに対応している。
Windows版のEtherealでは、
WinPcap
と呼ばれる パケット・ライブラリーが必要になるが、
最新のEtherealのインストーラーにはそれが含まれている。
Etherealの詳しい使い方がここでは触れないが、
このソフトの基本的は考え方としては、通信パケットを無条件にキャプチャーしておいて、
表示する際にフィルタして必要なパケットだけを見やすく表示しよう、
という感じ。
だから、キャプチャーパケットのフィルタ設定も指定できなくはないがあまり細かくはない。
一方、表示する際の Display Filter については、非常に細かな条件を設定できる。
このEtherealを使えば、ActivePorts の足りない部分を補うことができる。
つまり、今回の例であれば、TCPのディストネーション・ポート番号 445 のパケットのみを
表示するようにしておけば良いわけである。
ちなみに、パケットリアルタイムに表示させるためには、
Capture Options画面にある「Update list of packets real time」
オプションをオンにする必要がある。
ここで表示されたソース・ポート番号と同じ番号を ActivePorts 上で探せば
このパケットを送出したプロセスを突き止めることができる。
ここでは、Ethereal と ActivePorts という2つのツールを利用したが、
この2つの機能を統合したツールは存在しないのだろうか。
もし、ご存知の方がおられたら、コメントなりトラックバックなり
頂けたらありがたい。
カテゴリー:
通信
23:41
| コメント (0)
| トラックバック (0)