tcpdumpでネットワーク状況を知る！

tcpdumpの実行

　では、実際にtcpdumpを実行させてみましょう。今回はWindows上で動作するWinDumpを用いることにしました。WinDumpは、MicroOLAP TCPDUMP for Windows（http://www.microolap.com/products/network/tcpdump/）よりアーカイブをダウンロードし、解凍するだけで利用できます。また、多くのUNIX風OSにおいては標準でインストールされているため、何もせずに利用することができます。ただし、tcpdumpはプロミスキャスモードで動作するため、実行する際にはroot（Administrator）権限が必要となります。

　単純にコンピュータに到着したすべてのパケットの情報を出力するだけであれば、tcpdumpをインストールした後、コマンドプロンプトにおいてtcpdumpとタイプするだけで出力することができます。ただし、tcpdumpは一度に1つのNICしか監視しません。そのため、コンピュータに複数のNICが接続されている場合には、-iオプションで監視するNICを指定します。なお、WinDumpの場合は最初にNICの選択画面が表示されるようです。

　tcpdumpは、通常、取得したパケットごとに以下のような書式でパケットのヘッダ情報を出力します。ただし、オプション引数を指定するとヘッダ情報に加えてデータ部分の情報（実際の通信内容）も出力するようになります。

　時刻 IP 送信ホストIPアドレス.ポート番号 > 受信ホストIPアドレス.ポート番号: プロトコル依存の出力情報

　送受信ホストのIPアドレスやポート番号は、名前（例えば、host1.example.jp.httpなど）または数値（例えば、192.0.2.2.80など）で出力されます。どちらの書式で出力するかについては、オプション引数を指定することによって決めることができます。

　プロトコル依存の出力情報は、通信に使用しているトランスポート層プロトコル、またはネットワーク層プロトコルによって異なります。例えば、TCP/IPを用いて通信を行っている場合、プロトコル（TCP）依存の出力として、データパケットの順序を表すシーケンス番号、パケットサイズ、受信ホストのバッファサイズを表す広告ウィンドウサイズなどの情報が出力されます。

　tcpdumpは、一度実行するとパケットの到着をずっと監視し続けるため、tcpdumpを終了する場合は、Ctrl+Cコマンドなどで強制終了させます。また、別の方法として一定個数のパケットを取得すると終了するように実行時にオプション引数を指定することもできます。

出力結果のフィルタリング

　tcpdumpは前述したように、コンピュータに到着したパケットの情報をすべて出力するため、ネットワークの通信状況によっては出力結果が膨大な量となります。そのため、通常はtcpdumpから提供される出力結果をフィルタリングするためのオプションを利用して、関係のないパケットの情報を出力させないようにします。

　例えば、www.thinkit.co.jpからWebページの内容を取得する際に受信したパケットの情報のみを出力する場合には、コマンドプロンプトで以下のように指定します。

tcpdump src www.thinkit.co.jp and port http

　この実行結果は図3のようになります。tcpdumpのフィルタリングオプションには、送受信ホストに関する指定（例：IPアドレス、MACアドレス、ポート番号）やプロトコルに関する指定（例：tcp、udp）など数多くのオプションが用意されています。これらのフィルタリングオプションを組み合わせることによって調査に必要な情報のみを抽出し、分かりやすい形で出力することができます。次回は、これらのtcpdumpのオプションなどの出力結果のフィルタリング方法の詳細について紹介していきます。

[参考文献]

TCPDUMP/LIBPCAP（http://www.tcpdump.org/）（アクセス：2008/11）

MicroOLAP TCPDUMP for Windows（http://www.microolap.com/products/network/tcpdump/）（アクセス：2008/11）

Wireshark: Go deep.（http://www.wireshark.org/）（アクセス：2008/11）