カテゴリー: consulting
投稿者: ikeriri
パケットダイアグラム画面、フィルタボタンの階層化、google.protobuf.Timestampをはじめとしたprotobufフィールド対応、RTP8kHzコーデックのau出力、IPPoverUSBなど新機能やEAP等プロトコル更新多数のWireshark3.4.0rc1が公開されました。
WindowsではNpcap/QTも更新されます →www.wireshark.org
カテゴリー: consulting
投稿者: ikeriri
いけりりネットワークサービス (@ikeriri)2020/10/16 9:04Wireshark 開発者会議 Sharkfest’20のいけりりのセッション「Session 11: Automation TIPS & tricks Using Wireshark/TShark」がまもなく始まります。(Zoom/Discord)
オンライン開催なのでSharkfestV登録されていない方でもWireshark 公式のYoutubeチャンネルで配信をご覧になれます! youtube.com/watch?v=Sdej7y…
オンライン開催なのでSharkfestV登録されていない方でもWireshark 公式のYoutubeチャンネルで配信をご覧になれます! youtube.com/watch?v=Sdej7y…
カテゴリー: infrastructure
投稿者: ikeriri
今年のWIRESHARK開発者会議が始まるにあたりVirtual Happy HourがDiscordでありました。
まず明日からプリカンファレンスクラスが始まります。→ 公式(https://sharkfestvirtual.wireshark.org/)
いけりりセッションは4日目木曜日のZoom1 5:15pm-6:15pmで
11: Automation TIPS & tricks Using Wireshark/tshark in Windows
Instructor: Megumi Takeshita
こちらになります。時間はPDTなので、日本ですと金曜日の朝になります。どうかよよろしくお願いいたします。アジェンダはこちらから→https://sharkfestvirtual.wireshark.org/assets/SharkFest20Agenda.pdf
Sharkfestは2008年から開催されているWiresharkの開発者会議で、今回は2020年10月12日から16日(PDT)※日本ですと13日から18日 でWiresharkの活用・開発・教育などについてセッションがあります。
09/24: Wireshark3.2.7が公開されました
カテゴリー: infrastructure
投稿者: ikeriri
Wireshark3.2.7がリリースされました。
主な変更点はWindows版でのキャプチャドライバがNpcap0.9997へ更新、Qtは5.12.9に変更されています。
またMIMEマルチパートのクラッシュ、TCPダイセクタのバグ修正ほかMNC11がNTTドコモ東海から楽天に表示が変わるなど
細かな修正含みます →http://www.wireshark.org/download.html
主な変更点はWindows版でのキャプチャドライバがNpcap0.9997へ更新、Qtは5.12.9に変更されています。
またMIMEマルチパートのクラッシュ、TCPダイセクタのバグ修正ほかMNC11がNTTドコモ東海から楽天に表示が変わるなど
細かな修正含みます →http://www.wireshark.org/download.html
09/16: Wireshark3.3 パケットダイアグラム画面
カテゴリー: infrastructure
投稿者: ikeriri
Wireshark3.3.0(開発版)がリリースされました!
ついにパケットダイアグラム画面をサポートします。
これはTCP/IPの教科書などでおなじみのフレームを32ビットの長方形で表示するのでプロトコルの学習に最適です。
非同期のDNS名前解決がデフォルト有効RTP改善、プロトコル対応等メジャーリリース待てない!
早く試してみたい方はぜひ開発版をダウンロード→https://www.wireshark.org/download.html
参考までに、標準では、パケット一覧画面、パケット詳細画面、パケットバイト画面のレイアウトになっているので、表示メニューよりどこかの画面をグレイアウトしてPacket Dialog Paneを選択するか、編集>設定より外観に移動して画面レイアウトを変更する必要があります。念のためご注意ください。
追記しますと、編集>設定>外観よりパケットダイアグラムを表示したら右クリックして「フィールド値を表示」を選んでください。実際の値を確認できるほか、画像をPNG/JPEG/BMP形式で保存できます。
ついにパケットダイアグラム画面をサポートします。
これはTCP/IPの教科書などでおなじみのフレームを32ビットの長方形で表示するのでプロトコルの学習に最適です。
非同期のDNS名前解決がデフォルト有効RTP改善、プロトコル対応等メジャーリリース待てない!
早く試してみたい方はぜひ開発版をダウンロード→https://www.wireshark.org/download.html
参考までに、標準では、パケット一覧画面、パケット詳細画面、パケットバイト画面のレイアウトになっているので、表示メニューよりどこかの画面をグレイアウトしてPacket Dialog Paneを選択するか、編集>設定より外観に移動して画面レイアウトを変更する必要があります。念のためご注意ください。
追記しますと、編集>設定>外観よりパケットダイアグラムを表示したら右クリックして「フィールド値を表示」を選んでください。実際の値を確認できるほか、画像をPNG/JPEG/BMP形式で保存できます。
How to update Windows10 1803 2020
and upgrading Windows Service for Linux from WSL1 to WSL2
X58 chipset with Gulftown intel Core processor
VT-d from enabled to disabled
Set strage mode from ACHI to IDE
Windows 10 assistant
https://www.microsoft.com/ja-jp/software-download/windows10
wsl -l -v to check version
wsl -l -v
Updating WSL2 Linux kernel package
https://docs.microsoft.com/en-us/windows/wsl/wsl2-kernel
Enable Virtual Machine platform service in Windows10 function using Power Shell ( Admin)
Set default to WSL2PS C:\> wsl --set-default-version 2
Checkwsl -l -v
ChecklistCommand
BIOS settingX58 chipset with Gulftown intel Core processor
VT-d from enabled to disabled
Set strage mode from ACHI to IDE
Windows 10 assistant
https://www.microsoft.com/ja-jp/software-download/windows10
wsl -l -v to check version
wsl -l -v
Updating WSL2 Linux kernel package
https://docs.microsoft.com/en-us/windows/wsl/wsl2-kernel
Enable Virtual Machine platform service in Windows10 function using Power Shell ( Admin)
dism.exe /online /enable-feature
change version from WSL1 to WSL2 wsl --set-version kali-linux 2
/featurename:VirtualMachinePlatform /all /norestart
Set default to WSL2PS C:\> wsl --set-default-version 2
Checkwsl -l -v
カテゴリー: consulting
投稿者: ikeriri
いけりり@ようやくというか、やっと25台の実習PCのメモリ16GB化を完了しました。
Core i5 + SSD + 16GBRAMで快適な環境でテストやセミナができるようになりました。
そして、念願の単焦点プロジェクターを入れました。これは会場が狭いところでは特につよつよで、すごく画面大きくなるのでよいのですよね。嬉しい!
カテゴリー: consulting
投稿者: ikeriri
•Lawrence Abramsさんの投稿より
https://www.bleepingcomputer.com/news/microsoft/windows-10-quietly-got-a-built-in-network-sniffer-how-to-use/
•Windowsのキャプチャ方法としては以前からnetshによる方法として netsh trace start capture=yes traceFile=ファイル名.etlがありましたが、こちらのETLは以前はWiresharkでうまく処理できなかったり(現在のWiresharkはETL対応)、インタフェースの指定が難しいなど問題がありました。これに対してWindows10 May 2020アップデートにおいて、新しくpktmon.exeに-l real-timeおよびpktmon pcapngオプションが追加されました!
Pktmonのサブコマンドはpktmon [コマンド]に対応しており、オンラインヘルプは pktmon filter help のように入力します。管理者権限でコマンドプロンプトを起動したら、キャプチャフィルタを設定してみます。pktmon filter add –p ポート番号 で特定ポートのみキャプチャするように設定できます.
pktmon start [-c { all | nics | [ids...] }] [-d] [--etw [-p size] [-k keywords]] [-f] [-s] [-r] [-m]でキャプチャを開始します。 たくさんのオプションがあるため、詳細はヘルプを見てください。
-c, --componentsオプション(おすすめ) 監視対象のコンポーネントを選択します。すべてのコンポーネント、NIC のみ、またはコンポーネント ID の一覧を指定できます。既定値は all です。コンポーネントは仮想アダプタなどがたくさんあるので pktmon comp listでIDを確認することをおすすめします。
--etwオプション(必須)パケット キャプチャのロギング セッションを開始します。
-p, --packet-size(おすすめ) 各パケットからログに記録するバイト数。常にパケット全体をログに記録するには、0 に設定します。既定値は 128 バイト。
-f, --file-name(おすすめ) .etl ログ ファイル。既定値は PktMon.etl です。
-s, --file-size ログ ファイルの最大サイズ (MB 単位)。既定値は 512 MB 。
以上が良く使うオプションです。例えば、ID13のコンポーネント(NIC)で、ファイル名test.etlですべてのパケットをキャプチャする場合は pktmon start –-etw –p 0 –c 13 –f test.etl になります。キャプチャを開始したらpktmon stopで停止します。
さて、これまでのファイルはetlのため、Microsoft Message Analyzerに最適化されており、またキャプチャがうまくいっているのかも確認できませんでした。新しいWindows10 May 2020アップデートではpktmonが更新され、pktmonにリアルタイムでキャプチャ情報を表示する「-l real-time」オプション、およびETLファイルをWiresharkで処理しやすいpcapngフォーマットに変換する「pktmon pcapng」サブコマンドが追加されます。
-l real-timeオプションはpktmon startとあわせて使うことで、標準出力にキャプチャ中の情報(MACアドレス、イーサタイプ、IPアドレス等)を随時表示することで正しくキャプチャされているかを確認できます。
さらにMicrosoftのpktmonコマンドにpcapngファイルへの変換を行うpktmon pcapサブコマンドが追加されます!!pktmon pcapng ETLファイル –o pcapngファイルのように指定することでETLファイルをpcapngファイルに変換できます。例 pktmon pcapng test.etl-o test.pcapng (画像はLawrence Abrams氏)
これがあれば私たちはWiresharkがインストールできないような環境でも、現場でパケキャプを取得して後でWiresharkで解析ができます!!
https://www.bleepingcomputer.com/news/microsoft/windows-10-quietly-got-a-built-in-network-sniffer-how-to-use/
•Windowsのキャプチャ方法としては以前からnetshによる方法として netsh trace start capture=yes traceFile=ファイル名.etlがありましたが、こちらのETLは以前はWiresharkでうまく処理できなかったり(現在のWiresharkはETL対応)、インタフェースの指定が難しいなど問題がありました。これに対してWindows10 May 2020アップデートにおいて、新しくpktmon.exeに-l real-timeおよびpktmon pcapngオプションが追加されました!
Pktmonのサブコマンドはpktmon [コマンド]に対応しており、オンラインヘルプは pktmon filter help のように入力します。管理者権限でコマンドプロンプトを起動したら、キャプチャフィルタを設定してみます。pktmon filter add –p ポート番号 で特定ポートのみキャプチャするように設定できます.
pktmon start [-c { all | nics | [ids...] }] [-d] [--etw [-p size] [-k keywords]] [-f] [-s] [-r] [-m]でキャプチャを開始します。 たくさんのオプションがあるため、詳細はヘルプを見てください。
-c, --componentsオプション(おすすめ) 監視対象のコンポーネントを選択します。すべてのコンポーネント、NIC のみ、またはコンポーネント ID の一覧を指定できます。既定値は all です。コンポーネントは仮想アダプタなどがたくさんあるので pktmon comp listでIDを確認することをおすすめします。
--etwオプション(必須)パケット キャプチャのロギング セッションを開始します。
-p, --packet-size(おすすめ) 各パケットからログに記録するバイト数。常にパケット全体をログに記録するには、0 に設定します。既定値は 128 バイト。
-f, --file-name(おすすめ) .etl ログ ファイル。既定値は PktMon.etl です。
-s, --file-size ログ ファイルの最大サイズ (MB 単位)。既定値は 512 MB 。
以上が良く使うオプションです。例えば、ID13のコンポーネント(NIC)で、ファイル名test.etlですべてのパケットをキャプチャする場合は pktmon start –-etw –p 0 –c 13 –f test.etl になります。キャプチャを開始したらpktmon stopで停止します。
さて、これまでのファイルはetlのため、Microsoft Message Analyzerに最適化されており、またキャプチャがうまくいっているのかも確認できませんでした。新しいWindows10 May 2020アップデートではpktmonが更新され、pktmonにリアルタイムでキャプチャ情報を表示する「-l real-time」オプション、およびETLファイルをWiresharkで処理しやすいpcapngフォーマットに変換する「pktmon pcapng」サブコマンドが追加されます。
-l real-timeオプションはpktmon startとあわせて使うことで、標準出力にキャプチャ中の情報(MACアドレス、イーサタイプ、IPアドレス等)を随時表示することで正しくキャプチャされているかを確認できます。
さらにMicrosoftのpktmonコマンドにpcapngファイルへの変換を行うpktmon pcapサブコマンドが追加されます!!pktmon pcapng ETLファイル –o pcapngファイルのように指定することでETLファイルをpcapngファイルに変換できます。例 pktmon pcapng test.etl-o test.pcapng (画像はLawrence Abrams氏)
これがあれば私たちはWiresharkがインストールできないような環境でも、現場でパケキャプを取得して後でWiresharkで解析ができます!!
カテゴリー: infrastructure
投稿者: ikeriri
Dualcomm社ETAP-2406が登場しました。SFPx2の100/1000BASE-X対応のインライン接続ポートとモニタ用のRJ-45ポートを4つ持ち、リピータハブのように全ポートをフラッディングと光ファイバ側SFPの送信・受信別々のキャプチャを切り替えて利用できる100/1000Mbps対応タップです。
詳細は→
https://www.ikeriri.ne.jp/develop/dualcomm/
11/07: Shaarkfest Showalとおみやげ
カテゴリー: infrastructure
投稿者: ikeriri
いけりりSharkfest Europeです。会場では機材のテストやキャプチャを行うことができるSharkfestShowalというものがあります。
そして、Wernerさんのクラスでお土産もらいました!ありがとうございます。