パケットキャプチャ監視について
投稿日: / 更新日:
この記事は2年以上前に書かれたものです。情報が古い可能性があります。
今回は、Hinemos ver.6.1の新機能である、パケットキャプチャ監視について紹介いたします。
1.パケットキャプチャ監視とは
<前提条件>
パケットキャプチャ監視は、監視対象ノードにて
①Hinemosエージェントが動作していること
②libpcap/WinPcapがインストールされていること
が必要になります。
パケットキャプチャ監視の処理フローは、
Hinemosエージェントが対象ノードのネットワークカードから送受信したパケットを取得し、
指定されたパケット数が溜まった時にダンプファイルとして出力します。※
そして出力されたダンプファイルに対し、監視を行います。
※パケット数、およびダンプファイルの出力先についてはHinemosエージェントの設定に準じます。
また、収集したネットワークパケットは内部DBに蓄積することができ、
収集したデータは、Wiresharkなどの解析ツールを使って解析することが可能です。
(解析ツールとの連携につきましては、別記事にてご紹介いたします。)
ネットワークパケットを収集・監視することで特定アドレスとの間に指定数の通信があった場合に検知できます。
下記に例をあげますので、ご参考にしてください。
2.設定と実行結果
<仮定>
191.168.56.101(ノード名:os1-var6-1)と192.168.56.105間の通信が指定数を超えた場合に通知をする。
<設定>
・スコープ:os1-var6-1
・フィルタ(BPFの文法に従ってパケットの中から取得したい範囲を選ぶ):host 192.168.56.105
・判定(取得したパケットに対して検索をする):.*→危険
191.168.56.101、192.168.56.105間で一定量通信をする。
<結果>
191.168.56.101、192.168.56.105間の通信パケットを
指定数取得したエージェントからダンプファイルが出力され、検知された。
フィルタを変更することで、様々なパケット取得範囲を選択したり、
判定を変更することで、取得パケットの中に特定の文字列があった場合に通知することなど
ご自由にカスタマイズしていただけます。
Hinemos ver 6.1の新機能をぜひお試しください。
以上、パケットキャプチャ監視について紹介でした。