コンパクトパケットキャプチャ「Ethcapture」を使っている様子

ちょうどiPhoneのパケットを調べて欲しいという相談がきてましたので、新製品のコンパクトパケットキャプチャ「Ethcapture」を使っている様子をご紹介しましょう。

まず、Ethcaptureをキャプチャモードに切り替えます。出荷状態は管理モードになっていますので、ログイン用のパスワードを変更して情報セキュリティ対策を行ってから、キャプチャモードにします。

キャプチャモードにするとEthcaptureはIPアドレスを一切持たずに、単に2つのNIC間を流れるパケットを転送しながら保存することだけを行うようになります。

今回は、iPhoneの通信をキャプチャしたいということなのですが、さすがにキャリアとの通信はキャプチャできませんので、WiFi接続してキャプチャします。それでもEthcaptureが無線の電波に割り込むことは無理なので、アクセスポイントとHUBの間に割り込ませます。

iPhone〜アクセスポイント=Ethcapture=HUB=ルータ=インターネット

ケーブルがごちゃごちゃしてますが、こんな感じに、アクセスポイントからEthcaptureを中継してHUBに配線します。その後、iPhoneをアクセスポイントに接続します。

あとはキャプチャしたい通信が発生するような操作を行います。

Safariを使ったり、

AppStoreを使ったりしています。

一通り遊んだら・・・ではなく、操作したら、キャプチャモードから管理モードに切り替えます。WEBのユーザインターフェースはキャプチャモードでは使えないので、Ethcapture本体のボタンを長押しして放すことで管理モードに変更できます。

なお、管理モードでは緑のLEDが点灯、キャプチャモードでは緑のLEDが点滅、と見てすぐにわかるようになっています。起動中やファームアップデートで赤のLEDは使います。

再び管理画面にログインし、データダウンロードで、キャプチャデータをダウンロードします。PCAP形式で取得できます。

そのままダウンロードしたファイルをEthereal(Wireshark)などで確認することができます。

このように、Ethcaptureを使うと、ネットワーク環境の設定変更などを行わずに、すぐに簡単にキャプチャができます。とても便利です！
サーバのキャプチャであれば、サーバ機でキャプチャすることも可能ですが、クライアントにはキャプチャソフトを入れにくかったり、あるいはモバイル端末などのように入れられなかったりします。そうなるとスイッチにミラーポートを設定して、別のマシンで傍受しながらキャプチャするなど、結構手間がかかりますし、いずれにしても傍受タイプでは取りこぼしの可能性もあります。Ethcaptureは転送した分を必ず保存しますので、Ethcaptureが取りこぼした分はそもそも転送されないため、キャプチャの取りこぼしは発生しません。

ちょうどEthcaptureのサポートサイトの公開と、マニュアルのダウンロードが可能になりましたので、Ethcaptureネタで書いてみました。

今日はこの後、ブロガーミーティングなので、その内容も書く予定ですが、おそらく今日中には帰宅できないと思いますので、他のネタを書いておきました。それにしても、お盆で電車も空いてますし、会社もがらんとしてます。。でも電話やメールも少なく、仕事は快適ですね！