追加ソフトをインストールすることなく、Windows の自マシン間の通信をキャプチャーする方法
概要
Windows の標準コマンドであるroute を使って、自マシン間の通信をキャプチャーする方法を紹介します。
内容
Windows では、自マシン間の通信をWireshark やNetwork Monitor、netsh でキャプチャーする事ができません。
RawCap やMessage Analyzer を使用すれば、自マシン間の通信をキャプチャーすることも可能ですが、今回は、追加ソフトをインストールしないで、自マシン間の通信をキャプチャーする方法を紹介します。
追加ソフトをインストールすることなく、自マシン間の通信をキャプチャーする方法
1. ipconfig を実行し、自マシンのIP アドレス、デフォルトゲートウェイのIP アドレスを確認します。
2. 管理者権限のコマンドプロンプトで、以下のroute コマンドを実行します。
route add <自マシンのIP アドレス> mask 255.255.255.255 <デフォルトゲートウェイのIP アドレス> metric 1
これにより、自マシンのIP アドレスへの通信が、デフォルトゲートウェイ経由で通信されるようになり、パケットキャプチャーが可能な状態となります。
3. 管理者権限のコマンドプロンプトで、以下のnetsh コマンドを実行し、パケットキャプチャーを開始します。
netsh trace start capture=yes
4. 自マシンのIP アドレスに対して、通信を行います。
ここでは、”ping –n 1 <自マシンのIP アドレス>” を実行しました。
(-n 1 は、一回だけping を実行するという意味です。)
5. 以下のnetsh コマンドを実行し、パケットキャプチャーを終了します。
netsh trace stop
それにネットワークトレース情報が格納されています。
6. 作成されたNetTrace.etl をMessage Analyzer (もしくはNetwork Monitor)で開きます。
わかりやすさのため、フィルターを用いてICMP のみを表示させてみます。
すると、自マシンへの通信がキャプチャーされていることが確認できます。
パケットが重複しているのは、デフォルトゲートウェイ経由で通信されているためです。
7. 以前紹介したテクニックを使えば、Wireshark でキャプチャーファイルを開くことも可能です。
8. 作成したroute 情報は、以下のコマンドで削除することができます。
route delete <自マシンのIP アドレス> mask 255.255.255.255 <デフォルトゲートウェイのIP アドレス> metric 1
注意点
・パケットが実際にネットワークに流れますので、その分ネットワークに負荷を与えます。
・”localhost” や “127.0.0.1”に対する通信は、上記の手法ではキャプチャーできませんでした。
情報元
・Loopback capture setup (英語)
関連記事
・追加ソフトのインストールなくWindows 上でパケットキャプチャーを行い、それをWireshark で解析する方法
・RawCap を用いてWireshark で自マシン間の通信を解析する方法
・Message Analyzer を用いてループバックアドレスへの通信をキャプチャー