tcpdumpでネットワーク状況を知る!

2008年12月5日(金)
津川 知朗

tcpdumpとは

 スタンドアローンなプログラムや機器と同様(もしくはそれ以上に)、ネットワーク通信を伴うプログラムを開発したり新しいネットワーク機器を導入する際には、さまざまなバグや問題が発生します。ネットワーク通信を行うプログラムやネットワーク機器で何らかの問題が発生したとき、その原因を特定するための方法として何が考えられるでしょうか。

 多くの場合、始めに行われることはPINGを用いてコンピュータやネットワーク機器がネットワークに正常に接続されているかを確認することでしょう。また、それぞれのプログラムや機器が出力するログも原因を特定するための欠かせない情報源となります。しかし、それらの情報だけでは原因を特定するためには不十分である場合も数多く多く存在します。

 それぞれのプログラムや機器が出力するログを調査しても原因の特定を行うことができなかった場合、次に行うこととしてプログラム間、またはネットワーク機器の間で実際に行われている通信内容を閲覧し、正常なパケットの送受信が行われているかどうかを確認することが考えられます。本連載では、そのような確認および原因の特定を行うための有効な情報収集手段の一つとしてtcpdump(http://www.tcpdump.org/)を取り上げます。

 tcpdumpとは、コマンドライン上で利用するネットワーク上を流れるパケットの様子を観察するためのツールです。tcpdumpは、FreeBSD、Linux、Solaris、Mac OS Xなどの多くのUNIX風OS上で利用することができます。また、Windows においてもWinDump(http://www.microolap.com/products/network/tcpdump/)と呼ばれるtcpdumpと同様の機能を持つツールが開発されており、OSにかかわらず利用できるツールであると言えます。

tcpdumpでネットワークをモニターする

 tcpdumpを実行すると、コンピュータのNetwork Interface Card(以下、NIC)をプロミスキャスモードと呼ばれる動作モードに設定します。コンピュータに接続されているNICは通常、到着したパケットのうち、自分あてのものだけを上位のOSやアプリケーションプログラムへ引き渡し、それ以外のパケットに関しては棄却します。しかし、動作モードがプロミスキャスモードに設定されると、NICは自分あてではないパケットに関してもすべて引き渡すようになります。その結果、ユーザは自分あてではないパケットも含めて、コンピュータに到着したすべてのパケットの内容を閲覧することができるようになります。

 tcpdumpはコンピュータに到着したすべてのパケット情報を出力するため、ネットワークの通信状況によっては出力結果が膨大な量となります。そのため、tcpdumpには出力結果をフィルタリングするための数多くのオプションが用意されています。tcpdumpのフィルタリングオプションをうまく組み合わせることによって、調査に関係のないパケット情報を出力させないように設定することができます。

 また、tcpdumpの出力結果を解析するためのツールも数多く開発、公開されています。例えば、Wireshark(http://www.wireshark.org/)と呼ばれるツールは、tcpdumpの出力結果を読み込んでGUIでさまざまな処理を行うことができます。tcpdump自体のフィルタリングオプションやこれらのツールを有効に活用することによって、ユーザーは自分にとって必要な情報のみを素早く抽出することができるようになります。

 tcpdump出力情報のフィルタリングオプションに関する詳細については、連載の第2回、Wiresharkなどのtcpdumpに関連したツールについては第4回で取り上げる予定です。

 ネットワーク通信を行うプログラムやネットワーク機器は近年ますます増加傾向にあります。また、通信速度が向上したことによって、動画を扱うプログラムなど、これまでは通信パケット量の面で現実的ではなかったようなプログラムやネットワークサービスも数多く見られるようになりました。その結果、ネットワーク通信の使用用途も多種多様なものとなってきており、それに伴って原因の特定に苦しむような問題に直面する機会も増えています。そのような機会に遭遇した時に、問題を解決するための糸口をつかむ手段としてtcpdumpは非常に有効なツールの1つです。

tcpdumpの活用例

 tcpdumpは、実際にはどのような場面で活用されるのでしょうか。筆者の経験では、主に以下の2つの場面において活用されてきました。

・ネットワーク通信を行うプログラムのデバッグや設定の確認
・ネットワークプロトコルの解析

 プログラムのデバッグや設定の確認などは、通常、プログラムや機器が出力するデバッグ情報などのログを基にして、発生している問題の原因の特定を行います。しかし、ネットワーク通信を行うプログラムやネットワーク機器の場合、それらのログから得られる情報だけでは原因を特定することができず、どうしても実際にネットワーク上を流れる通信パケットの様子を観察したい場合があります。

 例えば、筆者の経験ではNetwork Address Port Translation(以下、NAPT)機器の初期設定を行っている時に、通信がうまくいかない問題が発生したことがありました。この時、NAPT機器が出力するログからは原因を特定することができなかったため、適当なWebサーバーと通信を行い、そのWebサーバ上でtcpdumpを実行してパケットの流れを観察しました。その結果、NAPT機器でのグローバルIPアドレスへの変換に問題があるため、サーバと正常に通信を行うことができていないことを確認し、該当個所の設定を修正しました。

 もう1つの実例を紹介しましょう。ネットワーク通信を行うプログラムを使用している際に、あるTCPのオプションを有効にした場合と無効にした場合、アプリケーションプログラムの挙動が大きく変化すると言う現象が見られたことがありました。そこで、問題となっているTCPオプションの有効/無効のそれぞれの場合において、tcpdumpをあらかじめ実行した状態でプログラムを動作させ、プログラム間で行われている通信内容を閲覧してこの現象の原因を調査しました。

ネットワークプロトコルの解析

 tcpdumpはネットワークプロトコルの解析を行う際にもしばしば活用されます。TCP、UDP、HTTP、FTPなど標準的なネットワークプロトコルの挙動は、Request For Comment(RFC)で確認することができます。しかし、細部(ネットワーク通信を行う上では、通常あまり問題にならない個所)に関しては、実装依存であることも多く、特定のプロトコルに修正を加えて通信速度などの性能の向上を図る場合には、実際に通信が行われている様子を観察することが不可欠となります。

 例えば、筆者の経験ではTCPの通信速度の性能を改善する方法について検討する際に、現在広く使用されているいくつかのTCPバージョンを用いて通信し、送信ホストでのデータパケットの送信、およびACKパケットの到着の様子を観察しました。そして、それらの結果から広帯域ネットワークにおいて通信速度を低下させている原因を調査し、その解決策を検討しました。

 このように、tcpdumpはさまざまな場面で活用することができます。しかし、tcpdumpは通信内容をすべて閲覧することができるという性質上、しばしば他人の通信の盗聴などに悪用されます。メールの送受信や制限のかかっているWebページの閲覧、Webショッピングで使うパスワードやクレジットカード番号のようなユーザにとって重要な情報に関する通信のパケットであっても、サーバとユーザの通信方法によっては、tcpdumpを使えばそれらの情報を容易に取得することができてしまいます。したがって、tcpdumpを使用する際には他人の通信内容を盗聴することにならないよう十分に注意して使用する必要があります。

tcpdumpの実行

 では、実際にtcpdumpを実行させてみましょう。今回はWindows上で動作するWinDumpを用いることにしました。WinDumpは、MicroOLAP TCPDUMP for Windows(http://www.microolap.com/products/network/tcpdump/)よりアーカイブをダウンロードし、解凍するだけで利用できます。また、多くのUNIX風OSにおいては標準でインストールされているため、何もせずに利用することができます。ただし、tcpdumpはプロミスキャスモードで動作するため、実行する際にはroot(Administrator)権限が必要となります。

 単純にコンピュータに到着したすべてのパケットの情報を出力するだけであれば、tcpdumpをインストールした後、コマンドプロンプトにおいてtcpdumpとタイプするだけで出力することができます。ただし、tcpdumpは一度に1つのNICしか監視しません。そのため、コンピュータに複数のNICが接続されている場合には、-iオプションで監視するNICを指定します。なお、WinDumpの場合は最初にNICの選択画面が表示されるようです。

 tcpdumpは、通常、取得したパケットごとに以下のような書式でパケットのヘッダ情報を出力します。ただし、オプション引数を指定するとヘッダ情報に加えてデータ部分の情報(実際の通信内容)も出力するようになります。

 時刻 IP 送信ホストIPアドレス.ポート番号 > 受信ホストIPアドレス.ポート番号: プロトコル依存の出力情報

 送受信ホストのIPアドレスやポート番号は、名前(例えば、host1.example.jp.httpなど)または数値(例えば、192.0.2.2.80など)で出力されます。どちらの書式で出力するかについては、オプション引数を指定することによって決めることができます。

 プロトコル依存の出力情報は、通信に使用しているトランスポート層プロトコル、またはネットワーク層プロトコルによって異なります。例えば、TCP/IPを用いて通信を行っている場合、プロトコル(TCP)依存の出力として、データパケットの順序を表すシーケンス番号、パケットサイズ、受信ホストのバッファサイズを表す広告ウィンドウサイズなどの情報が出力されます。

 tcpdumpは、一度実行するとパケットの到着をずっと監視し続けるため、tcpdumpを終了する場合は、Ctrl+Cコマンドなどで強制終了させます。また、別の方法として一定個数のパケットを取得すると終了するように実行時にオプション引数を指定することもできます。

出力結果のフィルタリング

 tcpdumpは前述したように、コンピュータに到着したパケットの情報をすべて出力するため、ネットワークの通信状況によっては出力結果が膨大な量となります。そのため、通常はtcpdumpから提供される出力結果をフィルタリングするためのオプションを利用して、関係のないパケットの情報を出力させないようにします。

 例えば、www.thinkit.co.jpからWebページの内容を取得する際に受信したパケットの情報のみを出力する場合には、コマンドプロンプトで以下のように指定します。

tcpdump src www.thinkit.co.jp and port http

 この実行結果は図3のようになります。tcpdumpのフィルタリングオプションには、送受信ホストに関する指定(例:IPアドレス、MACアドレス、ポート番号)やプロトコルに関する指定(例:tcp、udp)など数多くのオプションが用意されています。これらのフィルタリングオプションを組み合わせることによって調査に必要な情報のみを抽出し、分かりやすい形で出力することができます。次回は、これらのtcpdumpのオプションなどの出力結果のフィルタリング方法の詳細について紹介していきます。

[参考文献]

TCPDUMP/LIBPCAP(http://www.tcpdump.org/)(アクセス:2008/11)

MicroOLAP TCPDUMP for Windows(http://www.microolap.com/products/network/tcpdump/)(アクセス:2008/11)

Wireshark: Go deep.(http://www.wireshark.org/)(アクセス:2008/11)

大阪大学
大阪大学 大学院情報科学研究科。研究の専門分野はTCP/IPネットワークで、C++プログラマー。現在の主な活動としては、オープンソースソフトウエアとして、ネットワーク関連のC++ライブラリの実装、公開を行っている。http://sourceforge.jp/projects/clxcpp/ http://d.hatena.ne.jp/tt_clown/

Think ITメルマガ会員登録受付中

Think ITでは、技術情報が詰まったメールマガジン「Think IT Weekly」の配信サービスを提供しています。メルマガ会員登録を済ませれば、メルマガだけでなく、さまざまな限定特典を入手できるようになります。

Think ITメルマガ会員のサービス内容を見る

他にもこの記事が読まれています