WireShark
- Wiresharkは多くのプロトコル(L7であればhttp, ssh, telnet, etc...)に対応したパケット取得・プロトコル解析ソフト
- ネットワークに流れるパケット情報をリアルタイムで調査可能
- ネットワークインターフェースを流れるパケットがリアルタイムでリスト表示される
パケットキャプチャドライバ
- Wireshark単体ではパケットキャプチャは行うことができない。windowsはWinPcap(Linuxの場合はlibpcap)
- WinPcapやlibpcapはパケットキャプチャドライバと呼ばれるもの
- 通常のアプリケーションはソケットを経由してデータを送受信する。
※ソケット:アプリケーションがデータを送受信するための仕組みを提供するAPI - ソケット経由では自身のアプリケーション向けのパケットのみ取得できるが、パケットキャプチャドライバを使用することでネットワークを流れる全てのパケットを取得することが可能になる
プロミスキャスモード
- 標準モード:NICは自分宛てのパケットを受信したときのみ、上位のレイヤーにそのデータを受け渡す
- プロミスキャスモード:パケットの宛先に関わらず、全てのパケットを上位レイヤーに受け渡す
参考文献