Network Monitor 3 を使用したパケットの採取
■ 概要
Network Monitor 3.3 を使用した代表的なパケットの採取方法についてご紹介します。
■ 目次
(1) Network Monitor 3.3 のインストール方法について
(2) Network Monitor 3.3 の通常のパケット採取手順
(3) Network Monitor 3.3 の便利なパケット採取手順
(4) Network Monitor 3.3 にてログオン時のパケット採取手順
(5) Network Monitor 3.3 のアンインストール方法について
(1) Network Monitor 3.3 のインストール方法について
** 注意: Network Monitor をインストールする際に、ネットワークが瞬断されることがございます。
下記の URL より Microsoft Network Monitor 3.3 をダウンロードします。
Microsoft Network Monitor 3.3
https://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=983b941d-06cb-4658-b7f6-3088333d062fNM33_ia64.exe ... Network Monitor 3.3 IA64 版
NM33_x64.exe ... Network Monitor 3.3 x64 版
NM33_x86.exe ... Network Monitor 3.3 x86 版ダウンロードした Network Monitor 3.3 のインストール モジュールを実行します。
インストールを継続して良いか確認するポップアップが表示されましたら [はい] をクリックします。
Welcome to the Microsoft Network Monitor 3.3 Setup Wizard で [Next] をクリックします。
End-User License Agreement で "I accept the terms in the License Agreement" を選択し、 [Next] をクリックします。
Choose Setup Type で [Complete] をクリックします。
Ready to Install で [Install] をクリックします。
Completing the Setup Wizard で [Finish] をクリックします。この後で自動的にパーサーのインストールも行われますので、インストールが完了するまで待ちます。
(2) Network Monitor 3.3 の通常のパケット採取手順
Network Monitor 3.3 を起動し、[New Capture] をクリックします。
画面上部の [Select Networks] をクリックし、パケットを採取するインターフェースのチェックボックスを [ON] にします。
トレースを採取するバッファ サイズを指定します。
a. [Tools] メニュー – [Options] – [Capture] タブを開きます。
b. 以下、[Temporary capture file] の [Size] 項目を任意のサイズに変更します。
** 既定では 20 MB ですが、最大で 100 MB 程度を目安に設定してください。
パケットの採取を開始するには、ToolBar の [Start] ボタンを押します。
以下のように、パケットの採取が開始されます。
パケットの採取を停止するには、ツール バー の [Stop] ボタンを押します。
ツール バーの [Save As] ボタンを押して、任意の場所にトレースを保存します。
![clip_image012[1]](https://msdntnarchive.z22.web.core.windows.net/media/TNBlogsFS/BlogFileStorage/blogs_technet/jpntsblog/WindowsLiveWriter/f08610cbb2ea_D5C4/clip_image0121_thumb.jpg "clip_image012[1]")
![clip_image012[1]](https://msdntnarchive.z22.web.core.windows.net/media/TNBlogsFS/BlogFileStorage/blogs_technet/jpntsblog/WindowsLiveWriter/f08610cbb2ea_D5C4/clip_image0121.jpg "clip_image012[1]")
(3) Network Monitor 3.3 の便利な採取手順
A. パケットを小分けに保存しながら採取する方法
一定のファイルサイズ毎にパケットを分割して保存するには、
Microsoft Network Monitor 3.3 に含まれる nmcap.exe を使用し、以下のコマンドを実行します。
nmcap /network * /capture /file <保存するファイル名>.chn:<ファイル サイズ>
例:
100 MB 毎に、test.cap, test(1).cap, test(2).cap,・・・ test(n).cap という形式で、c:\netmon3配下に、パケットを保存する。
nmcap /network * /capture /file c:\netmon3\test.chn:100M
B. 時間を指定して、パケットを採取する方法
nmcap コマンドの /StartWhen ~ /StopWhen オプションや、/TimeAfter オプションを使用することで、
以下の例のように、時間を指定したパケットの採取を行うことができます。
例1:
最大100 MB のパケットを、2010/4/13 00:00 – 2010/4/13 03:00 までの間に、c:\netmon3\test.cap ファイルに保存する。
nmcap /network * /capture /StartWhen /Time 00:00 4/13/2010 /StopWhen /Time 03:00 4/13/2010 /file c:\netmon3\test.cap:100M
例2:
最大100 MB のパケットを、2010/4/13 00:00 から 60 分間、c:\netmon3\test.cap ファイルに保存する。
nmcap /network * /capture /StartWhen /Time 00:00 4/13/2010 /StopWhen /timeafter 60 min /file c:\netmon3\test.cap:100M
(4) Network Monitor 3.3 にてログオン時のパケットを採取する手順
A. 別の端末からパケットを採取する
パケットを採取する際には、Network Monitor を起動する必要があります。
そのため、まだログオンする前の端末のパケットを採取するためには、別の端末から採取する方法が最も確実です。
例えば、A という端末がログオンするときのパケットを、B という端末で採取するためには、
A が接続されている L2スイッチの “ミラーリング ポート” に接続した B 上でパケットを採取するか (左図)、
A が接続されている L2スイッチが受信したパケットを、全てのポートに転送する “リピータ ハブ (L1)” を割り込ませることによって、B 上でパケットを採取します (右図)。
< パケットの採取手順>
パケットの採取方法は、先述しました手順と “ほぼ同様” ですが、
Network Monitor にて、自分宛では無いパケットも全て採取するためには、P-Mode という設定を有効にする必要があります。
<P-Mode の有効化手順>
Network Monitor 3.3 を起動し、[New Capture] をクリックします。
画面上部の [Select Networks] タブをクリックし、P-Mode を有効にするインターフェースを選択します。
![clip_image009[1]](https://msdntnarchive.z22.web.core.windows.net/media/TNBlogsFS/BlogFileStorage/blogs_technet/jpntsblog/WindowsLiveWriter/f08610cbb2ea_D5C4/clip_image0091_thumb.jpg "clip_image009[1]")
P-Mode ボタンをクリックして “有効” にします。
<P-Mode “ 無効” 時>
<P-Mode “ 有効” 時>
** nmcap コマンドを使用してパケットを採取する場合に、P-Mode を有効にするには、次のように /DisableLocalOnly オプションを設定します。
nmcap /network * /capture /DisableLocalOnly /file c:\netmon3\test.cap:100M
![clip_image009[1]](https://msdntnarchive.z22.web.core.windows.net/media/TNBlogsFS/BlogFileStorage/blogs_technet/jpntsblog/WindowsLiveWriter/f08610cbb2ea_D5C4/clip_image0091.jpg "clip_image009[1]")
B. ログオン時のパケットを自身で採取する
< 概要>
i. パケットの採取を行うコマンドを記述したバッチ ファイルを作成します。
ii. 上記 A. で作成したバッチ ファイルを実行するサービス (capservice) を作成します。
iii. システム起動後に、上記 B. のサービス (capservice) が開始されるタイミングから、パケットが採取されます。
iv. パケットの採取が終わりましたら、作成したサービス (capservice) を削除します。
< 注意 >
上記の採取手順は、サービス起動時からパケットの採取が開始されるため、サービスが起動する前のパケットは採取できません。
そのため、厳密にシステム起動時からのパケットを採取する必要がある場合には、上記 A. の “別の端末からパケットを採取する” 方法で採取ください。
< 手順>
下記の URL より Windows Server 2003 Resource Kit Tools をダウンロードし、インストールします。
Windows Server 2003 Resource Kit Tools
上記 1. のインストール先 (既定では以下のいずれか) から、srvany.exe をコピーします。
・ C:\Program Files\Windows Resource Kits\Tools
・ C:\Program Files (x86)\Windows Resource Kits\Tools
C:\netmon3 フォルダーを作成し、上記 2. のsrvany.exe を貼り付けます。
パケットを採取するコマンドを記述したバッチ ファイルを作成します。
例: 以下をメモ帳に貼り付けて、c:\netmon3\capture.bat として保存します。
nmcap /network * /capture /TerminateWhen /TimeAfter 20 min /file c:\netmon3\test.cap:100M
:: 20 分間、最大で 100 MBのパケットをc:\netmon3\test.cap に保存します。
パケット採取用のサービスが実行するバッチ ファイルなどの設定を、レジストリに作成します。
Capservice レジストリ キーを追加し、下記のエントリを追加/設定します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\capservice
パケット採取用のサービス (capservice) を作成します。
コマンド プロンプトを管理者権限で起動し、以下のコマンドを実行します。
sc create capservice binpath= C:\netmon3\srvany.exe type= own start= auto
** コマンド中 "=" の後のスペースは必須です。
コマンドの実行に成功しますと、“CreateService SUCCESS” と出力されます。
また、[サービス] 画面には以下のように、capservice サービスが新しく作成されます。
再起動すると、C:\netmon3\test.cap に、起動時から指定した時間のパケットが保存されます。
パケットの採取が終わりましたら、以下の手順で capservice を削除します。
8-1. 作成した以下のレジストリ キーを削除します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\capservice
8-2. Capservice を以下のコマンドから削除します。
sc delete capservice
8-3. C:\netmon3 フォルダを削除します。
8-4. "Windows Resource Kit Tools" をアンインストールします。
■ Netmon 3.3 のアンインストール方法について
管理者権限を持つアカウントでコマンド プロンプトを起動します。
Network Monitor のドライバをアンインストールするために、以下のコマンドを実行します。
nmconfig /uninstall
"プログラムの追加と削除" (Windows Vista 以降では "プログラムと機能") を開きます。
以下の 2 つのプログラムを [削除] します。
a. "Microsoft Network Monitor 3.3"
b. "Microsoft Network Monitor: Microsoft Parsers 3.3"