ファイアウォールを対象とし、ルーターとして機能するpfSenseオペレーティングシステムを使用すると、WANとLANの両方から、構成した特定のインターフェイスですべてのネットワークトラフィックをキャプチャできます。もちろん、コンピューターで構成されている場合は、特定のVLAN。 ダウンロードとアップロードの両方で双方向のトラフィックをキャプチャできるようになります。また、IPアドレスやTCP / UDPポートによる制限も可能になります。 今日のこの記事では、ネットワークトラフィックをキャプチャして徹底的な分析を実行し、何らかの問題があるかどうかを確認する方法を紹介します。
なぜネットワークトラフィックをキャプチャしたいのですか?
ネットワークトラフィックをキャプチャすることは、考えられる通信の問題を検出するために非常に重要です。 特定のコンピューターが特定のトラフィックを送受信する必要があり、それを受信しないと想像してみましょう。 ファイアウォール それを防いでいる、または問題がファイアウォールではなく、接続したスイッチにあること。 ネットワークをさらに保護するために特定のACLでスイッチを構成するのはごく普通のことであり、ローカルネットワークで発生する可能性のあるDoS攻撃に対してさまざまなタイプの対策をアクティブにすることもできます。 トラフィックがpfSenseに到達していない場合、問題が「中間」、つまりスイッチにある可能性があります。したがって、構成の問題を除外し、すべてのトラフィックフローを確認するのに役立ちます。
ある種の通信の問題があり、問題がどこにあるのかわからない場合は、pfSenseを使用してファイアウォール/ルーター自体に問題があることを除外してから、間にあるさまざまなスイッチを確認する必要があります。 。 ここで、pfSenseの「パケットキャプチャ」が登場します。これにより、特定のネットワークインターフェイスのすべてのトラフィックをキャプチャできます。
pfSenseでの「パケットキャプチャ」のしくみ
トラフィックキャプチャデバイスは、デフォルトでpfSenseオペレーティングシステムにインストールされます。インストールできる可能性のある利用可能なソフトウェアのリストからインストールする必要はありません。 私たちはに行かなければなりません」 診断/パケットキャプチャ 」セクションで、使用可能な構成オプションを確認してください。
このセクションでは、パケットキャプチャーを「微調整」するためのさまざまな構成オプションを用意します。これは、すべてのネットワークトラフィックをキャプチャするのではなく、特別に選択したトラフィックのみをキャプチャするための基本的な機能です。
私たちが最初にしなければならないことは« インタフェース «、ここでは、パケットのキャプチャに使用する物理インターフェイスまたは論理インターフェイス(VLANを使用する場合)を選択する必要があります。
pfSenseオペレーティングシステムを使用すると、「プロミスキャスモード」を有効にできます。 「無差別モード」では、システムは、特定のインターフェースを通過するホストに直接向かうトラフィックのみをキャプチャします。 「プロミスキャスモード」では、スニッフィングモードを有効にし、ネットワークアダプターが認識するすべての情報をキャプチャしますが、pfSenseで使用するハードウェアがこの機能をサポートしていない可能性があります。
IPv4、IPv6、または両方のネットワークプロトコルが必要かどうかを選択してフィルタリングすることもできます。
次に、キャプチャするプロトコルを選択する必要があります。任意のプロトコル(Any)をキャプチャするか、ICMP、TCP、UDPなどでフィルタリングできます。
他の利用可能なオプションは、「ホストアドレス」オプションを選択する可能性です。 このオプションを使用すると、発信元または宛先として特定のIPアドレスまたはMACアドレス(同じサブネットに直接接続されている場合)を持つトラフィックのみをキャプチャできます。 何も入れないと、IPやMACでフィルタリングすることなく、インターフェイスを通過するすべてのパケットをキャプチャします。
TCPやUDPを使用する場合は、送信元ポートまたは宛先ポートを構成することもできます。これは、関心のあるトラフィックのみをキャプチャするのに理想的です。 すべてのアプリケーション層プロトコルは特定の送信元ポートと宛先ポートを使用します。たとえば、HTTPトラフィックをキャプチャする場合は、ポート80を配置し、TCPでフィルタリングします。これはHTTPアプリケーション層プロトコルが使用するものだからです。
「パケット長」では、フレームサイズに制限されずにすべてのフレームをキャプチャするために0を入力する必要があります。「カウント」では、手動で停止するまですべてのトラフィックをキャプチャするために0を入力することをお勧めします。デフォルトでは、問題の機器によっては非常に小さい可能性がある100の値。
「詳細レベル」セクションでは、下部に示されているネットワークキャプチャを多かれ少なかれ詳細に作成できますが、ほとんどの場合、データキャプチャをダウンロードして、Wiresharkなどのプログラムで注意深く調べます。
この例では、スマートフォンのトラフィックをキャプチャして、インターネットに送信しているデータを確認します。「任意の」プロトコルと任意のポートでフィルタリングします。つまり、またはに送信されるすべてのトラフィックをキャプチャします。 10.11.1.4から来ています。
この例では、任意のパケット長でキャプチャしますが、最大100パケットです。 詳細レベルは「通常」であり、「開始」をクリックしてデータキャプチャを開始します。
パケットキャプチャが実行されている間、「停止」ボタンが表示され、そのすぐ下に「パケットキャプチャが実行されています」と表示されます。
«停止»をクリックすると、キャプチャが開始されたときと停止したときが表示されます。 すぐ下のスクリーンショットを見ることができますが、詳細レベルが「正常」であったため、情報はほとんどありません。 ほとんどの場合、「キャプチャのダウンロード」をクリックしてデータキャプチャをダウンロードし、さらに分析することをお勧めします。
Wiresharkプログラムがインストールされているので、このキャプチャを直接開いて、キャプチャを詳細に調べることができます。
以下に示すように、Wiresharkにすべてのデータがキャプチャされており、スマートフォンへのすべての着信および発信トラフィックを確認できます。
ご覧のとおり、pfSenseを使用してトラフィックをキャプチャすることは非常に簡単でシンプルであり、さまざまな機器の通信の問題の可能性を検出し、スイッチ、pfSense、またはPCで直接構成の問題を除外できます。