前回のエントリー「
ポートを開いているヤツ(プロセス)は誰だ?」で、
ActivePorts だけでは、
セッションを張ろうとしている場合には、
そのリモート側のIPアドレスとポート番号を確認できないことについて書いた。
これができるのが、いわゆるパケットキャプチャー(capture)ソフト または
パケットスニファー(Sniffer)ソフトといわれるものである。
通信パケットのキャプチャーソフトにはいくつかあるが、
その代表的なものの一つが
Ethereal
である。
Windows版をはじめ、
FeeBSD や Mac OS X 等のBSD系、
各種Linuxディストリビューション、Solaris、AIX、HP-UX 等々、
ありとあらゆるプラットフォームに対応している。
Windows版のEtherealでは、
WinPcap
と呼ばれる パケット・ライブラリーが必要になるが、
最新のEtherealのインストーラーにはそれが含まれている。
Etherealの詳しい使い方がここでは触れないが、
このソフトの基本的は考え方としては、通信パケットを無条件にキャプチャーしておいて、
表示する際にフィルタして必要なパケットだけを見やすく表示しよう、
という感じ。
だから、キャプチャーパケットのフィルタ設定も指定できなくはないがあまり細かくはない。
一方、表示する際の Display Filter については、非常に細かな条件を設定できる。
このEtherealを使えば、ActivePorts の足りない部分を補うことができる。
つまり、今回の例であれば、TCPのディストネーション・ポート番号 445 のパケットのみを
表示するようにしておけば良いわけである。
ちなみに、パケットリアルタイムに表示させるためには、
Capture Options画面にある「Update list of packets real time」
オプションをオンにする必要がある。
ここで表示されたソース・ポート番号と同じ番号を ActivePorts 上で探せば
このパケットを送出したプロセスを突き止めることができる。
ここでは、Ethereal と ActivePorts という2つのツールを利用したが、
この2つの機能を統合したツールは存在しないのだろうか。
もし、ご存知の方がおられたら、コメントなりトラックバックなり
頂けたらありがたい。
カテゴリー:
通信
23:41
| コメント (0)
| トラックバック (0)
本日、大学間連絡会議がマウンティンビュー(Mountain View)で行われた。
参加者は10名。7月がお休みだったので、2ヶ月ぶりの開催となった。
今度の9月の定例会はサンフランシスコ領事館で山中総領事もご出席ということになっている。
これをいい機会として、この会としての在り方をしっかりと確立しておこうということで、
今回の会議で、会としての正式名称とか、会としてのポリシーについて決めることになった。
その結果、正式名称は「ベイエリア大学間連絡会議」、
アメリカで活動しており英語表記も必要な場合があるので
「Japanese University Network in Bay Area」という英語表記とすることに決定した。
本会のポリシーとしては、大学や日本学術振興会といったアカデミックな団体が主体ということもあり、
教育・研究を基本とし「人材育成、産学連携」をメインのテーマとする。
また、この会に参加している大学や地方自治体のそれぞれの活動に関する
情報交換・情報共有を行って相互協力を図ってゆく、というものである。
その他、従来どおりの各団体の活動報告や情報交換も行われた。
大阪大学ではサマープログラムとしてカリフォルニア大学サンタバーバラにて1ヶ月間の語学研修をされているそうである。
また、早稲田大学は多数の学生をアメリカを含めた世界各地に送りこんでいるいるという情報も交換された。
いろいろ情報を集めてみると日本の各大学も活発な活動を行っているようである。
ちなみに私もこの場を借りて、鹿児島大学のシリコンバレーオフィス開所式と
学生研修ツアーについてもご説明させていただいた。
カテゴリー:
JUNBA
19:03
| コメント (0)
| トラックバック (0)
先日のエントリーで、ウィルスに感染していると考えられるノートPC
について書いたが、
今回はその解析方法に関して調査した際のことを書いてみたい。
前回、ウィルスが感染していると思われるPCから
大量のパケットが発信されて、ルータがハングしてしまった、
と書いたが、その原因を突き止める必要がある。
AntiVirusでもウィルスが引っかからない状況において、
では、そのPCの中のどのプロセスが大量パケット発信を行っているか?
それをWindows既存のツールだけで知るのは難しい。
まず、IPコネクションに関しては、
netstatコマンド があるが、-a オプションを付けて実行すると、
現在のTCPのコネクション、それから、TCPとUDPのListen状態の
ポート番号が一覧できる。
但し、この一覧からはどのプロセスがそれを行っているのか特定することができない。
ちなみに、WindowsXPのnetstatコマンドには、-o オプションが追加されて、
プロセス番号が併記できるようになったので、
タスクマネージャーと組み合わせれば
そのプロセス番号からどのプロセスか判別できないことはない。
しかし、今回のノートPCのOSはWindows2000である。
このような場合に、IPのコネクション情報とプロセスの情報を同時に表示してくれる
ツールがある。それが「
ActivePorts」である。
このツールは、ポート情報と、そのプロセスの番号(PID)とプロセス名、その実行ファイルのパスまでもを
リアルタイムにウィンドウでモニターできる。
オプションでアップデート・スピードを設定できるし、ポーズすることもできる。
コンパクトではあるが強力なツールである。
但し、今回の場合、この ActivePorts だけでは全ては解決しない。
プロセスがコネクションを張りに行く際、
コネクションが確立するまではリッスン状態であり、
相手のIPアドレスやポート番号が表示されないのである。
これでは、接続か確立しなければ、相手先のポート番号445に
コネクションを試みているということを確認できない。
そのため、また別のツールが必要になるのだが
それについては後日のエントリーとさせていただく。
カテゴリー:
Windows
,
通信
23:17
| コメント (0)
| トラックバック (0)
今日はJTPA技術交流会の日であった。
最終的な出席者は7名で今回から新たに加わった方が1名おられた。
私が会議室に着いた時、既に常連のお二方が会話されていた。
話しに加えていただくと、そのうちのお一人は、
最近、Sun Microsystems の 川原英哉氏とお知り合いになり、
先日ご本人から直接 Looking Glass のデモを見せていただいたそうである。
うらやましい限りである。
ご存知ない方のために簡単に説明させていただくと、
川原英哉氏は「IT業界のイチロー」とも形容されている方で
新しい3次元デスクトップ・インターフェースを一人で開発され、
それを オープンソースプロジェクト「Project Looking Glass」
として、サン マイクロシステムズの一プロジェクトにまでしてしまった、
という方である。
詳しくは
「Project Looking Glass の全貌」
にこのプロジェクトについての川原英哉氏ご自身による解説があるのでそれを参照されたし。
その後、他の方々が集まってからでも、この Looking Glass や、
他の三次元プロジェクトについて議論した。
この辺に詳しいエンジニア(ちなみに言うとハンドル名「はなびし」さん)によると、
三次元映像一般の人間に与える影響についての研究では、
視覚とそれを認識している脳の中で、矛盾が生じているので、
長く見続けると、疲労を感じるのが問題だそうである。
確かに、実際には三次元でない二次元の画像を
脳の中では三次元として認識させようと、
ある意味「騙し」ているわけなのだから、
脳が矛盾を感じるのも当然なのかもしれない。
それから、JTPAでは現在RFIDに関するセミナーを企画しているので
このRFIDについての技術的な面や応用面について議論が及んだ。
このRFIDのセミナーに関しては、間もなく、JTPAの方から正式に告知されることになろう。
その他の話題としては、
- Googleのサーチ、メール、デスクトップ・サーチや、その他の使い方のノウハウについて
- リナックスのディストリビューションやバージョンについて
- ウィルス被害の一例とその復旧についてのケーススタディー(これは昨日のエントリー
の内容)
などであった。
カテゴリー:
JTPA
22:27
| コメント (0)
| トラックバック (0)
奇怪な現象が出ているのでチョット見て欲しいという相談を知り合いから受けた。
お話しを聞いてみると、
あるノートPCを会社のネットワークに接続してしばらくすると、
会社全体がインターネットにアクセスできなくなる、ということであった。
もう少し詳しく状況を説明すると、
この現象は先週末から起き始めた。
そのノートPCのOSはWindows2000。
PCがウィルスに感染した可能性が高いので、
Windows Update 行って OSも最新の状態にしたし、
インストールされている Symantec AntiVirus Corporate Edition
の Virus Definition File も最新にしてスキャンを掛けた。
しかし、この日曜日の21日現在、ウィルスを発見できなかったそうである。
会社で使われているルーターは SONICWALL。
このルーターがしばらくすると、完全にハングアップしてしまう。
ハングする直前のログを取り出してみると、
08/21/2005 15:38:09.544 The cache is full; 6144 open connections; some will be dropped 192.168.20.52, 4428, LAN 216.1.XXX.XXX, 445, WAN
こんは感じ。
このノートPCのユーザーの方も、ネットワークに繋がないと仕事にならないし、
かと言って、ネットに繋ぐと しばらくしてから、その方を含め会社の全員、
インターネットが使えなくなってしまう、というジレンマであった。
実は昨日、私も現場に呼び出されて行ってみると上記のような状況であったのだ。
おそらくウィルスかスパイウェアの仕業と思われるが、
AntiVirusでも引っかからなければ、それらを特定するのは非常に難しく
解決には時間がかかりそうであった。
さて、この局面で、私が行った 次の一手 をご紹介しておこう。
このジレンマを抜け出すためには、ノートPCを直そうとせず、
先ず、ルータがハングしないようにすること。
そうすれば、たとえPCの中にウィルスが居続けたとしても、
そのPCの持ち主の方も、他の社員の方々もインターネットでの仕事を続けられる。
では、なぜ、ルータはハングしたのか?
上記のログを解析してみると、「The cache is full」とか「open connections」
という記述がみつかる。それから、ポート番号 445 への接続であったことがわかる。
ちなみに、上記「192.168.20.52」というのが、その時点での問題ノートPCのIPアドレス。
以上のことから、
「問題ノートPCのウィルスが自己増殖するために、不特定のIPアドレスのポート445 に向かって、
大量のパケットを送信している。 ルータはNAT(Network Address Translation)を行うために、
そのパケット情報を一時的にメモリに保持しておかなければならないが、
そのパケットの数が多すぎてメモリがパンクしてしまっている。」
という仮説が立てられる。
では、上記仮説が正しかった仮定すると、どうしたら、この現象の発生をくい止めることができるのか。
要は簡単で、問題のパケットを受け取らなければよいだけの話し。
そこで、
「LAN側の不特定のIPアドレスから、WAN側の不特定のIPアドレスのポート番号445に対するTCPパケットを拒絶する」
という記述をSONICWALLのパケット・フィルターに追加した。
問題ノートPCのユーザーの方から聞いた話しでは、
その後、ルータはハングしなくなったそうである。
ただし、これはあくまでも暫定的な解決方法であり、
おそらく、問題ノートPCには何ならのウィルスが存在していると考えられる。
その後の展開については後日のエントリーとさせていただく。
カテゴリー:
通信
21:20
| コメント (0)
| トラックバック (0)
アイセックという団体の東京大学委員会の皆さんが
独自のシリコンバレーツアーということでJTPAにコンタクトされてきた。
そこでこの日、梅田さんのオフィスにてミーティングを持つことになっていた。
このミーティングには8名の学生の皆さんがいらっしゃり、
梅田さん、千賀さんに加え、私も同席させていただいた。
梅田さんのブログ「1986年生まれの大学一年生が来た」 でも書かれているように、
学生の皆さんは 19歳、20歳という若い方々で文系の方が多かった。
「日本にいて海外に目を向けている、しっかりした考えかたの若者」と言うのが
私の第一印象だった。
ミーティングでは、
アイセックという団体についての説明や、それぞれの自己紹介をしていただいた。
また、JTPA側の梅田さん、千賀さん、私の3人もそれぞれ
シリコンバレーに来た経緯やら現在の仕事について語った。
学生さんの中には女性が3名いらしたので、
特に千賀さんの経験談は参考になったようだった。
その後の質疑応答の際に、大学時代の経験についての質問があったので、
自分の経験を述べさせていただいた。
ただ、自分では、ついこないだの大学時代のことを話しているつもりなのに、
考えてみると、それは彼らが生まれる前の事なのである。
ある意味、ショック。
以前、私の母親が、私が東京オリンピックを知らない事に気づき、
実の母親ながら驚いていたのを覚えているが、
ちょうど同じような心境であったのであろう。
私がこういう活動に関わるようになったからかもしれないが、
最近、若い方々がシリコンバレーを訪れる機会が増えてきているように思う。
今後益々、若い方々に来硅していただきたものである。
カテゴリー:
JTPA
22:22
| コメント (0)
| トラックバック (0)
JBCによるバーベキュー大会がパロアルトの Mitchell Park で行われた。
日曜日の昼間と言うこともあり、ご家族連れも多数参加されていた。
このバーベキューの準備は JBC「料理部BBQ課」が担当となっているが、
実際のところは 赤間さんと田中さん。
準備されたメニューは、ビーフやチキンはもちろん、
焼き鳥、海老、アサリの醤油焼き、
焼きとうもろこし、焼き芋、そして焼きおにぎり までと多彩。
最後には、掛けうどん まで振舞われた。
また、余興として、ピニャータやスイカ割りとか
子供さんにも楽しめるイベントが用意されていた。
そして中でも注目は、赤間さんのギターと 小柳さんのトランペットの共演。
これはハッキリ言って すばらしかった。
演奏曲目は、懐かしいところで「宇宙戦艦ヤマト」、「太陽にほえろ」、「Stand by me」、
そして新しいところで「冬のソナタ」。
バーベキューにご参加の皆さんはもちろん、公園の周りの方々までが うっとりと聞き込んでいた。
夕方になって、皆さんボチボチ帰り始めたので、
日が落ちて暗くなる前にお片付けをしましょう、ということで
沢山の機材を車に積むところまでは、どうにか日暮れ前に終えることができた。
が、結局辺りが暗くなってからも延々と駐車場で話し込んでしまった。
長い長い、でも楽しい一日であった。
最後に、赤間さん、バーベキューの準備からギター演奏まで今日は本当にお疲れ様でした。
カテゴリー:
JBC/LSJ
23:46
| コメント (0)
| トラックバック (1)