Wireshark 1.8 でちょっと変更された事

---

Wireshark
http://www.wireshark.org/

---

定評のあるパケットキャプチャ&アナライザー Wireshark のバージョン1.8 が 6/21 にリリースされています。市販の解説書も多く、「ネットワーク パケットを読む会(仮)」でも使い方を紹介している Wireshark ですが、このバージョンでよく使う機能あの一部がちょっと変更になっていますので、解説しておきたいと思います。

最初に気づくのはキャプチャの開始手順でしょう。1.68 までのバージョンでは、スタート画面に表示されているインターフェイスの一覧から、パケットを採取したい物をクリックするとキャプチャが開始されました。これに対して 1.8 では一覧でインターフェイスをクリックして選択した上で、その上の [Start] をクリックする必要があります。

(左が 1.68、右が 1.8。少し変更されている)

またキャプチャ フィルタの設定などを行う [Capture Options] も変更されています。1.68 までは画面上部のドロップダウン リストからキャプチャするインターフェイスを選択し、そのすぐ下でキャプチャ フィルタを含む詳細設定を行うようになっていました。ところが 1.8 では画面上部にはインターフェイスの一覧が表示されているだけで、キャプチャ フィルタの設定などの設定が無くなっています。

(左が 1.68、右が 1.8。上部の内容が大きく変わっている)

それでは 1.8 でキャプチャ フィルタなどのキャプチャ時設定を行うにはどうするのかというと、インターフェイスのリストで設定したいインターフェイスをダブルクリックします。ダブルクリックするリストは [Capture Options] のダイアログでも、スタート画面のリストでもどちらでも構いません。すると次のような設定画面が表示されます。

こちらに 1.68 まで [Capture Options] ダイアログにあったキャプチャ 設定があります。キャプチャ フィルタもこちらから設定できます。

なぜこのような変更が行われたのかと言うと、Wireshark 1.8 では複数のインターフェイスでの同時パケット キャプチャが可能になったからです。これまでのバージョンではキャプチャを実行するインターフェイスを 1つだけ選択し、キャプチャ設定を行い、実行するという流れでした。これに対して 1.8 では複数のインターフェイスでのキャプチャの際にインターフェイスごとにキャプチャ設定が行えるようにするため、インターフェイスをダブルクリックしてそのインターフェイスに対する (キャプチャ フィルタなどの) 設定を行っておき、キャプチャを実行するインターフェイスを選択し、、キャプチャを実行するという流れに変わっています。そのため複数のネットワークインターフェイスがあるコンピュータでは、下のスクリーン ショットのように [Capture Options] ダイアログにもインターフェイスの一覧が表示され、チェックボックスで選択できるようになっています。また [Capture on all interface] や [Capture all in promiscous mode] という設定項目も用意されています。

またリモート インターフェイスの設定は、[Manage Interfaces] ボタンをクリックすると表示されるダイアログにあります。このダイアログを見ると通常のインターフェイスの他に名前付きパイプもインターフェイスとして追加できるようです (試していないのでどのような動作になるのかは未確認ですが)。

Msinfo32.exe ツールを実行すると、エラー メッセージが表示される

---

You may receive an error message when you run the Msinfo32.exe tool in Windows 7 or Windows Server 2008 R2
http://support.microsoft.com/kb/977620/en-us

---

別のブログでは書いていたが、こちらでは紹介していなかったので、改めて最新情報を含めて掲載しておこう。

Msinso32 (システム情報) ツールは Windows のハードウェア / ソフトウェアのさまざまな情報を収集・表示してくれる便利なツールだが、特定の Windows 7 / Windows Server 2008 R2 環境ではこのツールの実行時にエラーが発生する事が確認されている。「特定の環境」というのは、Microsoft Office IME 2007 SP2 または Microsoft Office IME 2010 がインストールされていて、それか標準の IME に設定されている場合だ。
この環境で Msinfo32.exe を実行すると、エラー メッセージが表示されてシステム情報を収集できない場合がある。また /nfo や /report などのスイッチを付けて Msinfo32.exe を実行して直接システム情報をファイルに書き込もうとすると、ファイルは作成されるが内容が空 (エラー メッセージだけ) になってしまう。

この問題は元々 IME 2007 SP2 で発生する事が上記のマイクロソフト サポート技術情報に掲載されていたのだが、私が仕事で検証をしてして IME 2010 でも発生する事や /nfo や /report などのスイッチを付けた際の挙動を確認した。そのためマイクロソフトのサポートに調査を依頼していた件で、その調査結果を反映させてサポート技術情報 (英語版) が更新されたので、このブログでも取り上げている。
いずれの IME がインストールされている場合でもエラーの原因は Windows に含まれる Msinfo.exe の不具合で、修正プログラムが用意されている。また標準の IME を Office IME 以外のものに変更する事でも現象が回避できる。

修正プログラムの入手方法や IME の変更方法についてはこちらに書いているので参照してほしい。
またこの修正プログラムは近くリリースされる予定の Windows 7 Service Pack 1 / Windows Server  2008 R2 Service Pack 1 に収録される。

Wireshark で http コンテンツをファイル化する

---

Wireshark は先日の「ネットワーク パケットを読む会(仮)」でも使ったように、手軽に利用できるネットワーク パケット キャプチャーとプロトコル アナライズのツールだが、その機能は非常に多く、またバージョン アップに併せて新機能が追加されている場合も多い。
そうした多彩な機能の中で、色々と役に立ちそうな機能の一つを紹介する。

トラブル シュートなどでネットワーク パケットを解析していて、http プロトコルでダウンロードされたコンテンツ (HTML ファイルやスクリプト、CSS、画像、また最近では JSON や XML など) の内容を確認したい場合がよくある。もちろん個々のパケットのエンティティを見れば生データとしてコンテンツの中身を見る事はできるが、HTML ならページとして、画像であれば目に見えるグラフィックとして、またスクリプトや CSS、JSON、XML などはエディタで開いて分かりやすい表示で見たいと思う事も少なくない。

以前のバージョンの Wireshark ではそうした場合、[Follow TCP Stream] の機能を使って TCP ストリーム (一つの TCP セッションのクライアント – サーバー間のやり取り) をテキスト表示させ、それを保存したりコピー&ペーストしてファイルにする方法を使った。HTML などのテキスト データはこの方法でも何とか取り出せる場合もあるが、日本語などのマルチバイト文字は正しく表示されないし、レスポンスが GZIP 圧縮されていると展開できない、さらに画像などのバイナリ データをここからファイル化するのは相当に面倒な作業になる。

これに対して最近のバージョンの Wireshark には HTTP レスポンスとしてサーバーから返されるコンテンツをファイルとしてエクスポートする機能が追加されている。この機能を使えば、ローカル (クライアント側) にダウンロードされるコンテンツはそのままの形でファイルとして取り出す事ができる。

この機能は次の手順で利用できる。

1. Wireshrtak でコンテンツを再現したいネットワーク トラフィックをキャプチャーするか、あらかじめキャプチャーしたファイルを開く
2. [File] メニューの [Export] をポイントし、[Objects] をポイントし、[HTTP] をクリックする
   
3. 表示しているネットワーク キャプチャーに含まれる HTTP レスポンス内のオブジェクトが一覧表示される
   
4. ファイルとして取り出したいオブジェクトをクリックして選択する
   
5. [Save As] をクリックする
6. 保存ダイアログが表示される (OS の共通ダイアログではなく Wireshark の独自ダイアログが表示される)
   
   保存場所を選択したい場合は [Browse for other folders] をクリックする。
   
7. 適切な名前を付けて保存する
   (キャプチャーからファイル名が取得できる場合は、そのファイル名が既定値として入っている)
   

注意事項は、HTTP Object list には表示中のキャプチャーに含まれるすべてのオブジェクトが表示される事だ。Display Filter で表示するパケットを絞り込んでいてもそれは反映されないため、多数のオブジェクトをダウンロードしているようなキャプチャーの場合、多数のオブジェクトが表示される。HTTP Object list にはオブジェクトがダウンロードされたフレーム番号が表示されるので、あらかじめコンテンツがダウンロードされたフレームを確認しておくと簡単に見つけられる。

またフォレンジック目的などで悪意のある動作をする可能性のあるコンテンツを取り扱う場合、そのコンテンツ (スクリプトや実行ファイルなど) を実行したり開いたりしてしまうと危険なので、十分に注意が必要だ。(一般的にリアルタイム スキャンが有効なウイルス対策ソフトを使っていれば、そうしたコンテンツをファイルとして保存しようとした瞬間に警告してくれるか、保存をブロックしてくれる)

「ネットワーク パケットを読む会(仮)」

昨日 (6/24) に「ネットワーク パケットを読む会(仮)」を無事開催しました。
開催レポートはこちらの Blog に書いたので、そちらをご覧ください。
次回は「ブラウザー勉強会」の終了後、8 月頃の予定。またここでも告知するので、興味のある方はぜひ。

ネットワーク パケットを読む会 (仮)

---

ちょっとした出来心で「ネットワーク パケットを読む会 (仮)」というのを開催します。
今回は http://computer-forensics.sans.org/challenges/ で開催されている SANS Digital Forensics and Incident Response Challenge のパケットを読む会です。
他に参加者が居なくてもとりあえず一人でゴソゴソやる予定ですので、気が向いたらぜひご参加ください。

詳細と参加表明は以下の ATND サイトでお願いします。

よろしくお願いいたします。

IE8 Blocker Toolkit

---

Toolkit to Disable Automatic Delivery of Internet Explorer 8
http://www.microsoft.com/downloads/details.aspx?FamilyID=21687628-5806-4ba6-9e4e-8e224ec6dd8c&displaylang=en

---

IE Blog によると、Internet Explorer8 も Internet Explorer 7 と同様に Automatic Update (AU)、Windows Update (WU)、Microsoft Update (MU)で配布される予定との事である。そのためにこうしたシステムでのインストールをブロックする IE8 Blocker Toolkitがリリースされた。内容は IE7 用と同様ブロック レジストリを設定するスクリプトとそれをグループ ポリシーで配布するためのテンプレート ファイル。管理しているクライアントに IE8 を適用させたくない場合は、このツールキットの使用を早めに検討しておくとよいだろう。

ちなみに手動でブロック レジストリを設定する場合は以下の値を構成する。

キー : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Setup\8.0
名前 : DoNotAllowIE80
種類 : DWORD
データ : 1

NirSoft のツール

---

NirSoft – freeware utilities: password recovery, system utilities, desktop utilities
http://www.nirsoft.net/

---

Windows 向けのフリー ツール集の有名どころとしてもう一つ、NirSoft も外せない。パスワード リカバリ ツールが有名だが、それ以外にも役立ちそうなツールが多い。ただしちょっとダークっぽいので使い方には要注意。ダウンロード時にウイルス対策ソフトから警告されたり、自動的に削除されたりする場合が多いのでその点にも注意が必要だ。

Foundstone Free Tools

---

Foundstone Network Security – Risk Management – Free Tools
http://www.foundstone.com/us/resources-free-tools.asp

---

Windows 関係のトラブルシュート ツールとしては Sysinternals のツールが有名だが、ネットワーク セキュリティ系のツール類としては Foundstone のツールも便利だ。Foundstone も Microsoft に買収された Sysinternals と同様、元々は独立系のネットワーク セキュリティ コンサルタントだったのが、2004年に McAfee に買収されてその傘下に入った。

それ以前から様々なネットワーク セキュリティ ツールを無償で提供していたのだが、買収に伴い Web サイトの構成や内容が変わり、ツールのダウンロード サイトも変更されたり見つけにくくなったりしていたが、最近は以下のサイトで安定しているようだ。

Foundstone Network Security – Risk Management – Free Tools
http://www.foundstone.com/us/resources-free-tools.asp

ダウンロードできる容は、一般的なトラブルシュートにも役立つフォレンジック系のツールから、アプリケーション開発セキュリティ関係、侵入検知関係、スキャン ツール、ストレス テスト ツールまで幅広いが、くれぐれも悪用禁止なのは言うまでもない。

2013/2/3 追記
現在時点ののダウンロードページは以下となっています
McAfee Free Tools
http://www.mcafee.com/us/downloads/free-tools/index.aspx

Internet Explorer のサポート ツールとデバッグ ツール

---

Windows に既定でインストールされる標準の Web ブラウザである Internet Explorer には様々なサポート ツールやデバッグ ツールが用意されている。
Web の閲覧で問題が生じる場合や Internet Explorer と他のアプリケーション (Office や Adobe Reader など) との連携のトラブル、Web アプリケーションのデバッグに利用可能なツールにとして、下記のようなものがある。

Internet Explorer Developer Toolbar
http://www.microsoft.com/downloads/details.aspx?familyid=e59c3964-672d-4511-bb3e-2d5e1db91038&displaylang=en

Internet Explorer で表示しているページの DOM の表示や編集、CSS や HTML 構造の解析などが行えるツール。
Internet Explorer 6 と Internet Explorer 7 に対応している。Internet Explorer 8 には対応していない。
Internet Explorer 8 の Developer Tool についてはこのページ (MSDN) を参照。

STRACE
http://www.microsoft.com/downloads/details.aspx?FamilyID=f5ec767f-27f2-4fb3-90a5-4bf0d5f4810a&DisplayLang=en

Internet Explorer の内部的な HTTP リクエスト/レスポンスについての動作ログを採取するには、元々 Wininet.dll のデバッグ バージョンを使用する必要があったが、STRACE ツールを使用すると DLL を置き換える事なしに同じようなログが取得できる。SSL / TLS などで暗号化されているためネットワーク トレースでは HTTP リクエスト/レスポンスが確認できない場合でも、このツールでログが採取できる。
ただし Wininet.dll のデバック バージョンでは WinInet API の呼び出しと結果がすべて記録されるが、STRACE では HTTP リクエスト/レスポンスのログに限られ、例えばキャッシュ関係の動作などは記録されない。
また STRACE は Internet Exolorer だけでなく他のソケット ベースのプログラム (Outlook Express などのメーラーや FireFox などの他のブラウザ) に対して使用する事もできる。
STRACE からログ対象のアプリケーションを起動して採取する事も、起動済みのプロセスにアタッチする事も可能なので、なかなか便利である。
– 参考
Internet Explorer Support Tools and Debugging (MSDN Blog)

HTTPREPLAY
http://www.microsoft.com/downloads/details.aspx?FamilyID=d25ba362-c17b-4d80-a677-1faff862e629&displaylang=en

STRACE で採取したログを解析して HTTP リクエスト/レスポンスを再構成して表示するツール。Wininet のログも同様に解析・表示できる。
ログに記録されているサーバーからのレスポンスを元にページを再構成して表示する事が可能なので、問題が発生する環境と同じ現象を別の環境で「目で見る」事ができる (場合がある)。
– 参考
Internet Explorer Support Tools and Debugging (MSDN Blog)

Fiddler2
http://www.fiddler2.com/fiddler2/version.asp

HTTP トレースツールであり、リクエスト ビルダーでもある便利なツール。
サーバー/クライアントの HTTP リクエスト/レスポンスを採取し、様々な形式で表示できるだけでなく、リクエストを加工・編集してサーバーに送信し、その結果を解析する事もできるので、Web アプリケーションのデバッグに有用。
Internet Explorer 以外のプログラムの HTTP トレースの採取もできる。また (デフォルトでは無効になっているが) HTTPS トレースも採取できる。

Microsoft Network Monitor 3.1
http://www.microsoft.com/downloads/details.aspx?FamilyID=18b1d59d-f4d8-4213-8d17-2f6dde7d7aac&DisplayLang=en

Microsoft 純正のパケット キャプチャ ツール。
以前のバージョンの Network Monitor はフル機能バージョンが SMS にしか付属しておらず、機能的にも使い勝手面でもフリーのツール (Wireshark など) に見劣る部分があったが、3.0 以降フル機能が無償で利用できるようになっている。( バージョン 3.2 Beta も Connect サイトでテスト公開中)
Wireshark のようにパケット ドライバ (PCap) をインストールしないので、環境を少しでも汚したくない場合や、サードパーティのドライバのインストールができない環境でも使用できる。
ちなみに 3.2 では CAP 形式のログを読み込む機能が追加されているので、益々便利かも。