FC2ブログ
自分の備忘録ぐらいに適当に。 ネットワークと宇宙開発と天文とそれと自転車を徒然と。
備忘録。

QUICのClient HelloのServer Name Indicationを引っ掛けるフィルタ
例: https://www.hogehoge.com/ の場合

quic.tag.sni == "www.hogehoge.com"

ただ、QUICは今のところGoogleとChromeを使っている場合しか使われないかな??


とりあえず
ssl.handshake.extensions_server_name =="www.hogehoge.com" or quic.tag.sni == "www.hogehoge.com"
という表示フィルタにしておけばいい感じかな?



スポンサーサイト




【2018/01/21 13:23】 | パケットキャプチャ
トラックバック(0) |
備忘録。

SSL/TLSのClient Helloのserver_nameを引っ掛けるフィルタ
例: https://www.hogehoge.com/ の場合

ssl.handshake.extensions_server_name == "www.hogehoge.com"



【2018/01/21 13:11】 | パケットキャプチャ
トラックバック(0) |
備忘録。

なんか自分の中では結構当たり前と思っていたのですが、そうでもないようなので。。。
トラブルシューティングをするときに結構複雑な状況だとパケットキャプチャーもしないと行けなくなるのですが、
その時は
・試験の実施した時間帯の記録と実施した内容
・機器のログ
・パケットキャプチャー

を合わせないといけないのですが、どうもそういう認識が無い人が多いような気がしている今日この頃です。

・試験の実施した時間帯の記録と実施した内容
→これは電波時計の腕時計がベストですが、正直これはある程度定期的に合わせていればいいかな?というレベルです。
 理由は基本的に試験と試験の間ではある程度時間を空けると思うのでそこまで正確ではなくてもいいと思います。

・機器のログ
→ベストはSNTP/NTPで時刻同期をしましょう。
 それができないなら1日に1回、再起動毎に1回手動で時刻を合わせましょう。

・パケットキャプチャー
→地味にこれができていない人が多いように感じるのですが、
 PCの時刻同期をしていないとパケットキャプチャーの時刻もズレて
 しまいます。
 ベストはNTPクライアントソフトをインストールしてネットワーク機器と同期する。
 それができないなら1日に1回、再起動毎に1回手動で時刻を合わせましょう。
 NTPクライアント
 ・桜時計
 ・iネッ時計
 あたりがいい感じでしょうか?
 ※手動でNTPサーバーのアドレスを指定できプロトコルとしてNTPを使うクライアントソフトでないとダメです。
 ※iネッ時計はJwordのインストールが求められますが普通にキャンセルすればインストールされないようです。
  NTPサーバー機能は不要なのでそういう意味だと
  桜時計
  の方がいいのかもしれません。

実はPCのパケットキャプチャーをするときは実際にキャプチャするインタフェースはIPアドレスは設定しない、というかIPv4/IPv6などのプロトコルを無効化(チェックボックスを外す)ようにして、NTP同期用にUSB-Ethernetを使うなどをするのが本当のベストだと思います。
その他色々ありますが、そのうちまとめられればと思っています。

<参考ページ>
VLAN tagがキャプチャできるUSB Ethernetアダプタ(Windows8.1)
http://networkerslog.blog137.fc2.com/blog-entry-362.html

VLAN tagがキャプチャできるUSB Ethernetアダプタ
http://networkerslog.blog137.fc2.com/blog-entry-349.html

パケットキャプチャ用の機材
http://networkerslog.blog137.fc2.com/blog-entry-342.html



【2014/10/06 21:48】 | パケットキャプチャ
トラックバック(0) |
備忘録。

このブログのサービスを提供しているfc2さんは色々と香ばしいことになっているようですが、基本備忘録として使っているのでサービス停止になってもバックアップを取っているのでさほど困らないので平常運転ということで。

以前、
Windows VistaとWindows7でのVLAN tagがキャプチャできるUSB Ethernetアダプタの記事
を書きましたが、
Windows8.1環境
が手に入りましたのでこちらの環境でも試してみました。

※くれぐれも私の環境での確認できたことで全ての環境で同様の動作ができることを保証するものではない点・基本は私の備忘録でしかない点は留意頂ければと思います。

■ ASIX AX88179 (USB3.0 to GigabitEthernet) ■
・Windows8.1に入っているドライバーとASIXの最新のドライバーが同じだったのでデフォルトのドライバーを利用
・Packet Priority & VLAN Enableがデフォルト設定
Logitec LAN-GTJU3
Planex UE-1000T-U3
ASIX AX88179 (3.16.11.0/Packet Priority & VLAN Enable) : Promiscuous OK : VLAN tag capture NG
ASIX AX88179 (3.16.11.0/Packet Priority & VLAN Disable) : Promiscuous OK : VLAN tag capture OK

■ ASIX AX88178 (USB2.0 to GigabitEthernet) ■
Planex GU-1000T

ASIX AX88178 (1.12.3.8/QoSパケット、タグ off) : Promiscuous OK : VLAN tag capture NG
ASIX AX88178 (1.12.3.8/QoSパケット、タグ on ) : Promiscuous OK : VLAN tag capture NG
ASIX AX88178 (1.12.6.0/QoSパケット、タグ off) : Promiscuous OK : VLAN tag capture NG (ASIXサイトからダウンロード)
ASIX AX88178 (1.12.6.0/QoSパケット、タグ on ) : Promiscuous OK : VLAN tag capture NG (ASIXサイトからダウンロード)

Windows8.1になってASIX AX88178でもVLANタグがキャプチャできるようになったかな?と思ったらやっぱりダメでした。

ということで
ASIX AX88179
を使っている中で、今、一番入手しやすく安いのをAmazonの価格で比較しましたが、前回と同じく
Logitec LAN-GTJU3
http://www.logitec.co.jp/products/lan/langtju3/
でした。
Logitec 有線LANアダプタ ギガビット対応 USB3.0 LAN-GTJU3Logitec 有線LANアダプタ ギガビット対応 USB3.0 LAN-GTJU3
(2013/02/21)
ロジテック

商品詳細を見る


パケットフラッディング・SPANしてくれる機器はこちら。
<参考ページ>
パケットキャプチャ用の機材
http://networkerslog.blog137.fc2.com/blog-entry-342.html

<参考ページ>
VLAN tagがキャプチャできるUSB Ethernetアダプタ
http://networkerslog.blog137.fc2.com/blog-entry-349.html


【2014/10/06 20:38】 | パケットキャプチャ
トラックバック(0) |
備忘録。

最近、久しぶりにVLAN tagまで意識したパケットキャプチャをする必要性が出てきたので持っている
USB-Ethernetアダプタ
で試したら案外VLAN tagが外されてしまう物が多かった気がしたので、色々試してみました。

※くれぐれも私の環境での確認できたことで全ての環境で同様の動作ができることを保証するものではない点・基本は私の備忘録でしかない点は留意頂ければと思います。

■ IO DATA ETG2-US2 ■
Windows Vista(v1.4.3.55) : Promiscuous OK : VLAN tag capture OK
Windows 7 (64bit版は非対応) : Promiscuous - : VLAN tag capture -
※ETG2-US2を刺しても"ETG-US2"と表示されるし、ググるとAX88178を使っているとかいてあるので下にあるドライバを入れようとしても違うと言われてしまいました。。。


■ ASIX AX88178 (USB2.0 to GigabitEthernet) ■
Windows Vista(v1.8.3.14) : Promiscuous OK : VLAN tag capture NG
Windows 7 (v1.14.3.7) : Promiscuous OK : VLAN tag capture NG
Windows 7 (v1.14.6.0) : Promiscuous OK : VLAN tag capture NG (ASIXサイトからダウンロード)

AX88178採用製品
・Buffalo LUA2-U2-KGT
・Buffalo LUA3-U2-AGT
・IO DATA ETG4-US2
・PLANEX GU-1000T



■ ASIX AX88179 (USB3.0 to GigabitEthernet) ■
※"Packet Priority & VLAN Disable"にて確認
Windows Vista(v1.4.0.0) : Promiscuous NG : VLAN tag capture NG
Windows Vista(v1.4.2.0) : Promiscuous OK : VLAN tag capture OK (ASIXサイトからダウンロード)
Windows 7 (v1.14.6.0) : Promiscuous OK : VLAN tag capture NG
Windows 7 (v1.14.8.0) : Promiscuous OK : VLAN tag capture OK (ASIXサイトからダウンロード)

AX88179採用製品
・Logitec LAN-GTJU3
・PLANEX UE-1000T-G3
・SANWA Supply LAN-ADUSBRJ45G
・玄人志向 GbE-USB3.0


<ASIXサイト>
http://www.asix.com.tw/download.php
http://www.asix.com.tw/faq.php?op=faqdetail&PItemID=131&FaqNoID=#689
"Packet Priority & VLAN Disable"

最初、Logitec LAN-GTJU3(Logitec提供のドライバーをインストール)を使ってWiresharkでキャプチャしてみてもどう見ても自発・自宛しかキャプチャしている様子しか無く
「おいおい、今まで一番ダメじゃね?」
と思ったりしたのですが、チップメーカーのASIXでは
"Packet Priority & VLAN"を無効にすればVLAN tagもキャプチャできる
と書いてあるぐらいなので、ドライバーを最新版に上げたら
Promiscuous且つVLAN tag付き
でパケットキャプチャーできました。

ということで、今、一番入手しやすく安いのは
Logitec LAN-GTJU3
http://www.logitec.co.jp/products/lan/langtju3/
になると思います。
Logitec 有線LANアダプタ ギガビット対応 USB3.0 LAN-GTJU3Logitec 有線LANアダプタ ギガビット対応 USB3.0 LAN-GTJU3
(2013/02/21)
ロジテック

商品詳細を見る

尚、Intelなどその他のチップについては
Wireshark Wiki
に書いてあります。
<参考ページ>
VLAN capture setup
http://wiki.wireshark.org/CaptureSetup/VLAN#head-81781716144f2855ab0aff2f8b752e95f2562efb


パケットフラッディング・SPANしてくれる機器はこちら。
<参考ページ>
パケットキャプチャ用の機材
http://networkerslog.blog137.fc2.com/blog-entry-342.html


追記。

2014年12月28日時点では
Buffalo LUA4-U3-AGT
が一番安いようです。

BUFFALO Giga USB3.0対応 有線LANアダプター LUA4-U3-AGTBUFFALO Giga USB3.0対応 有線LANアダプター LUA4-U3-AGT
(2014/06/25)
Not Machine Specific

商品詳細を見る



【2014/02/19 23:15】 | パケットキャプチャ
トラックバック(0) |

助かりました
なまえ
こちらの情報のおかげで、
Buffalo LUA4-U3-AGTをVISTA 32bitでプロミスキャスモードで動かすことができました。
CDのドライバーは1.4.1でしたがASIXのサイトから1.4.2を落としてインストール。それだけで設定変更とかせずに有効になってました。

ありがとうございます。

Re: 助かりました
ねっとわーかー
お役に立てたようで、何よりです。
私も最初は焦りました。

しかし試されたLUA4-U3-AGTがASIX AX88179搭載のUSB-Ethernetの中では一番安いようですね。



コメントを閉じる▲
備忘録。

パケットキャプチャやSPAN(moniter session)をする際にあると便利そうな装置。
※SPANはCatalystスイッチの機能のことなのかな?

アイオーデータ
BX-MR1

http://www.iodata.jp/product/lan/hub/bx-mr/
アイ・オー・データ機器 ミラーリング専用ボックス BX-MR1アイ・オー・データ機器 ミラーリング専用ボックス BX-MR1
(2013/12/30)
アイ・オー・データ

商品詳細を見る


NETGEAR
GS108E-100JPS

http://www.netgear.jp/products/details/GS108E.html
NETGEAR Inc. GS108E 【本体ライフタイム保証】8ポート ギガビット Plus スイッチ GS108E-100JPSNETGEAR Inc. GS108E 【本体ライフタイム保証】8ポート ギガビット Plus スイッチ GS108E-100JPS
(2011/02/02)
ネットギア

商品詳細を見る


Planex
FXG-05RPT

http://www.planex.co.jp/products/fxg-05rpt/
PLANEX ギガビットリピーター5ポートHUB FXG-05RPTPLANEX ギガビットリピーター5ポートHUB FXG-05RPT
(2013/09/30)
プラネックス

商品詳細を見る


<販売終了品>
アライドテレシス
CentreCOM GS905LF

http://www.allied-telesis.co.jp/products/list/switch/gs905lf/catalog.html

ただ上で上げている製品なんかは上り下りを1つのポートに流れる(フラッディング)から全二重で1Gbpsを取れるわけではないんですよね。
そういうことをしたい場合は、Catalystスイッチとかだと
送信元ポートのTXとRX
でSPANのsessionを分けることで全二重でトラフィックを取ることができます。


追記。

802.1Qのミラーリング、フラッディングをさせるためにはフレーム長が最低でも
1522バイト
をサポートしている必要があります。

で、パケットをミラーリング、フラッディングさせる機械も重要ですが、そのパケットを受ける機材の方も地味に重要で、802.1QのVLAN Taggingを受信する場合、NIC側もVLAN Tagに対応していないと折角802.1QのVLAN Tag付きでフレームが飛んできてもVLAN Tagが表示されない場合があります。

またパーソナルファイアウォールが動いているとプロミスキャス・モードでキャプチャしていてもパケットを受信できないことがあります。その時はパーソナルファイアウォールを無効を試してみるのも吉かと。
※それでいいのか?というところはあるとは思いますが。





【2013/12/15 22:34】 | パケットキャプチャ
トラックバック(0) |