tcpdumpを使いこなす！

出力の書式

　最後に、tcpdumpが出力するパケットの情報に書式について説明します。tcpdumpは通信に使用されているプロトコルによって出力の書式（出力する情報）が異なります。そこで今回は、通信プロトコルとして最もよく使用されるTCP/IPプロトコルに限定し、tcpdumpがTCP/IPパケットを取得したときに出力する情報の書式について説明します。

　ローカルホスト（192.168.0.2）からwww.thinkit.co.jpへHTTPリクエストを送信したときの通信の様子を取得した結果が図3になります。TCP/IPプロトコルの大まかな書式は、第1回で述べたように、「時刻 IP 送信ホストアドレス.ポート番号 > 受信ホストアドレス.ポート番号: TCP プロトコル依存の情報」となります。

出力情報の書式

　TCPプロトコル依存部分の出力情報の書式は、以下のようになります。

制御フラグ [開始シーケンス番号:終了シーケンス番号(データサイズ)] [ack ACK番号]
win 広告ウィンドウサイズ []

　それぞれ説明しましょう。

　まず、制御フラグですが、TCPは、SYN、FIN、PSH、RST、ACK、URGの6種類の制御フラグをビット列で管理しています。SYNはデータ通信（コネクション）開始時、FINはデータ通信（コネクション）終了時に送信されるパケットで、PSHがそれ以外のデータパケット、ACKがACKパケットを表します。図のS、F、PがそれぞれSYN、FIN、PSHフラグが設定されていることを表しています。「.」は、そのパケットにはデータ部分が存在せず、それまでに送信されたデータパケットに対する応答を示すのみのパケットであることを表しています。

　続いて、シーケンス番号です。TCPはデータの順序をバイト単位の番号で管理しており、このバイト単位の番号をシーケンス番号と呼びます。このシーケンス番号は、0などの決まった値から始まるのではなく、送信ホストが適当な開始番号を選択します。tcpdumpでは、SYNパケットを取得したときのみパケットに格納されている実際のシーケンス番号を出力し、それ以降はその値を基準（0とする）とした相対的な値で出力されます。

　ACK番号は、受信ホストが送信ホストに対して（連続して）受信したデータのシーケンス番号の最大値を伝えるための値です。TCPは、このACK番号を用いてデータが欠けることなくすべて受信ホストへ到達するように制御を行います。tcpdumpで出力されるACK番号は、シーケンス番号と同様に、SYNパケットが出力されたシーケンス番号からの相対値となります。

　TCPは、データパケットを送信するときにACK番号に関する情報も一緒に送ることがあります。そのため、シーケンス番号の情報とACK番号の情報が同時に出力される場合もあります。

　広告ウィンドウサイズは、受信ホストが一度に受信可能なデータサイズの最大値（バイト単位）を伝えるための値です。送信ホストは、この値を基に一度に送信するデータ量を調整します。

　最後にTCPオプションです。TCPヘッダにはオプション領域と呼ばれる領域が存在しており、通信に使用しているTCPのバージョンによっては、この領域にバージョン独自の情報を設定することがあります。例えば、mssはパケットのデータ部分の最大値を表します。また、sackOKはSACKオプション（http://www.faqs.org/rfcs/rfc2018.html）と呼ばれるTCPの拡張機能が利用可能であることを表しています。

[参考文献]

Manpage of TCPDUMP（http://www.linux.or.jp/JM/html/tcpdump/man1/tcpdump.1.html）（アクセス：2008/11）