慣れないことをすると痛いなぁ。ほぼ一日オフィスを離れて動き回っていた。いろいろと楽しかったけどね。
キャプチャするツールである。最近のNIC(というかまあ普通)は、NICはLANからやってくるパケットのうち、自分宛のものは受け取り、そうでないものは破棄する。windowsのネットワークの状態で見えるパケット数は、その自分宛と認識してOSに渡ったパケットの数である。しかしこれだと、自分宛以外のパケットは破棄されてしまうため、パケットキャプチャツールを動かしてもとれるのは自分宛のみとなる。それでは意味がないので、NICを自分宛以外のパケットでも破棄しないよう、プロミスキャスモードというモードで動かすと、パケットキャプチャツールでパケットをキャプチャすることができる。
さて、普通パケットキャプチャツールを動かす際、余計なパケットの送受信を避けるためにキャプチャクライアントを動かすPCでは、キャプチャに使うインターフェースのTCP/IPなどネットワーク系の設定を無効にすることが多い。そうすると、無効にした瞬間からプロミスキャスモードで動くまでの間、NICは全てのパケットを破棄する、はずである。だからOS上でのNICのカウンタ値は、インターフェースが上がっていても増加しない、はずだ。
今日クレームってきたのは、「パケットキャプチャツールを動かすNICが、サーバが起動しても自動的にパケットを受け取らない。カウンタが上昇しないからだ。Etherealを起動すると、パケットを引っ張ってくるからカウンタが上昇する。これはNICとして動きがおかしい。Ethereal以外のキャプチャソフトじゃ引っ張ってこれないじゃないか。Etherealを起動しなくてもカウンタが上がるように設定しろ。だっておかしいだろ?」
・・・・・え?
・・・・・なんだって? パケットを引っ張ってくる?
・・・・・あほか! パケットを外に出て上のスイッチから引っ張ってくるアプリケーションなんてどこにあるかぼけ!パケットは届いてるんじゃ! それを気づかず廃棄されているだけだろうに…。
あまりに斬新な発想にしばし唖然。 そうか。。。Etherealはパケットを引っ張ってくるツールだったのか。。。。