インフラ仕事を1年間以上したのにまだ、wiresharkをうまく活用できてなかったのでまずwiresharkで登場するプロトコルについてまとめる
wiresharkでパケットキャップチャした時、よく登場するプロトコル
ether, fddi, ip, arp, rarp, decnet, lat, sca, moprc, mopdl, tcp and udp.
そのほかにもwindows系では以下のプロトコルが、、多い、、
netbios
NetBEUIプロトコル。SMBはNetBEUIやTCP/IP上に実装されている
nbns
NetBIOS名前サービス
nbss
NetBIOSセッション・サービス
nbdgm
NetBIOSデータグラム・サービス
smb/smb2/smb_netlogon
Server Message Block。Windowsネットワークにおける基本的なファイル共有プロトコル
browser
ブラウザ・サービス
mailslot
メールスロット
pipe
名前付きパイプ
ldap
軽量ディレクトリ・アクセス・プロトコル
dcerpc
MS-RPC。詳細はTIPS「リモートの手続きを呼び出すMS-RPCとは?」参照
srvsvc
ファイル・サーバ・サービス。ファイルを公開する側のサービス
wkssvc
ワークステーション・サービス。ファイルを利用する側のサービス
winreg
リモート・レジストリ・サービス
svcctl
サービス・コントロール・マネージャ
srvloc
サービス・ロケーション(サービスの場所を検索する)
winsrepl
WINS複製
ICMPのパケット確認方法
pingを五回打って見たら
wiresharkでicmpパケットが10個が見える
「response –> reply」1セットになる
MDNSプロトコル
dnsはわかるけど、、MDNSって何だろう
ubuntuからgoogle.co.jpへpingを打ったのに以下のパケットが、、これは何だ
35 65.980430000 192.168.116.130 224.0.0.251 MDNS 87 Standard query 0x0000 PTR _ipps._tcp.local, "QM" question PTR _ipp._tcp.local, "QM" question
その前にMDNSとは
http://blog.negabaro.com/772.html <<zeroconfとmdnsという用語をまとめ
ARPプロトコル
4261 37011.911592000 Vmware_ea:0a:6f Vmware_eb:49:ef ARP 60 Who has 192.168.116.254? Tell 192.168.116.130
4262 37011.911640000 Vmware_eb:49:ef Vmware_ea:0a:6f ARP 42 192.168.116.254 is at 00:50:56:eb:49:ef
BROWSERプロトコル
62 222.391716000 192.168.116.1 192.168.116.255 BROWSER 243 Local Master Announcement KIM-PC, Workstation, Server, NT Workstation, Potential Browser, Master Browser
NBNSプロトコル
ubuntu –> ping google.co.jpをした時以下のパケットが多数発見された
113 813.165183000 192.168.116.1 192.168.116.255 NBNS 92 Name query NB WPAD<00>
僕とほぼ同じ疑問を持った先輩がいた
http://okwave.jp/qa/q5683646.html
上記URLを読んでみてとりあえず「ブロードキャストで端末名****を探しているパケット」で
繰り返してるのは応答してないという意味だそう
LLMNRプロトコル
ローカル・セグメント上での名前解決を行うプロトコルというのはわかった
http://www.atmarkit.co.jp/ait/articles/1305/23/news107.html
http://itpro.nikkeibp.co.jp/article/COLUMN/20080908/314370/?ST=win&P=2
参考したURL:
http://www.infraexpert.com/info/wireshark5.html