はやぐい/FreeBSD 4.5 + tcpdump

HAYAGUI

FreeBSD 4.5 + tcpdump

はじめに

「ftpログインのような暗号化されていないパスワードって、パケットを見るとそのまま見えるんだよね」と先輩から教えてもらったので、tcpdump でパケットを見てみることにしました。
資料
http://www.oreilly.co.jp/BOOK/number/
http://www2s.biglobe.ne.jp/~hig/tcpip/tcp.html
http://www.ascii.co.jp/BSDmag/200110/index.html
http://www.linux.or.jp/JM/html/tcpdump/man1/tcpdump.1.html

IPヘッダの構成

TCP/IPのパケットを解析する前に、TCPとIPがどのような構成なっているかを知ることから始めます。

バージョンヘッダ長サービスタイプパケット長

ID フラグフラグメントオフセット

TTL プロトコルタイプヘッダチェックサム

送信元アドレス

送信先アドレス

オプション+パディング

バージョン:4bit
バージョン。IPの場合は 4 、IPv6 の場合は 6 になる。
ヘッダ長:4bit
IPヘッダの長さ。この値 x 32bit(4Byte)
サービスタイプ(TOS):8bit
データの性質。

TOS D,T,R,L 意味プロトコル例

0x00 - デフォルト

0x02 L コスト優先

0x04 R 信頼性優先 SNMP

0x08 T スループット優先 ftpのデータ

0x10 D 遅延を最小に。 telnet,tftp,ftpのコントロール

0x1e D,T,R,L セキュリティ優先

パケット長:16bit
IPパケットの全長
ID:16bit
パケット識別子
フラグ:3bit
断片化を判断する。

bit 意味

010 断片化されていない。

001 断片化されていて、まだ断片がある。

000 断片化されていて、最後の断片である。

フラグメントオフセット:13bit
本来のデータの位置を表すオフセット値。
TTL:8bit
Time To Live 。透過可能なルータの残り数。
プロトコルタイプ:8bit
プロトコルの番号。

番号プロトコル

6 TCP

17 UDP

ヘッダチェックサム:16bit
ヘッダデータのチェックサム
送信元アドレス:32bit
送信元の IPアドレス
送信先アドレス:32bit
送信先の IPアドレス
オプション
ルータに依頼する内容。パディングは、32bit にする為のおまけ。

TCPヘッダの構成

送信元ポート番号送信先ポート番号

シーケンス番号

ACK番号

データオフセット予約 U
R
G A
C
K P
S
H P
S
T S
Y
N F
I
N ウィンドウサイズ

チェックサム緊急ポインタ

オプション+パディング

送信元ポート番号:16bit
送信元のポート番号。
送信先ポート番号:16bit
送信先のポート番号。
シーケンス番号:32bit
パケットを識別する番号。
ACK番号:32bit
次に受信を期待しているシーケンス番号。
データオフセット:4bit
TCPヘッダ長。
URG:1bit
緊急ポインタフラグ
ACK:1bit
応答確認フラグ
PSH:1bit
データをバッファリングしないで、即座に受信者に送信することを要求するフラグ
RST:1bit
接続リセットフラグ
SYN:1bit
TCPコネクションの確立を要求する同期要求フラグ
FIN:1bit
接続終了フラグ
ウィンドウサイズ:16bit
送信側が受信可能なバッファサイズ。
チェックサム:16bit
TCPパケットのエラーを検出する為のチェックサム。
緊急ポインタ:16bit
緊急ポインタを格納する。(よくわからない...)
オプション+パディング:32bit
(よくわからない...)

カーネルの確認

tcpdump でパケットを見るには、/dev/bpf0 がサポートされている必要があるので、kernel を確認してみます。
eden# cd /usr/src/sys/i386/conf
eden# vi GENERIC
GENERIC を vi で開いて確認。
# The `bpf' pseudo-device enables the Berkeley Packet Filter.
# Be aware of the administrative consequences of enabling this!
pseudo-device   bpf             #Berkeley packet filter

tcpdump

tcpdump を実行してみます。

オプションを付けなくても表示されますが、キャプチャ対象のホストを指定する時は次のようにします。以下は、jhon というホストからのパケットだけをキャプチャし、dump1.txt というファイルに落とす方法。

eden# tcpdump host jhon > dump1.txt

例えば、以下のネットワーク構成の時に Windows2000 の jhon 機から eden に ffftp.exe を使用して ftp してみます。ユーザは hoge 、パスワードは hogehoge で、 ftpログインしたら直ぐ切断します。その後、eden で、Ctrl + c して tcpdump を終了させます。

  +---------------+
  | Switching HUB |
  +--+----------+-+
     |          |
  +--+----+ +---+--+
  | jhon  | | eden |
  +-------+ +------+

tcpdump の書式

time src > dst: flag seqno ack window urgent option

time

時間。時:分:秒.ミリ秒の書式。

src

送信元のIPアドレスとポート。IPアドレス . ポートの書式。

dst

送信先のIPアドレスとポート。IPアドレス . ポートの書式。

flag

TCPヘッダ内のフラグ(上記参照)。

S	SYN
.	なし
P	PSH
F	FIN
R	RST

seqno

シーケンス番号。開始番号:終了番号(バイト数)の書式。

ack

TCPヘッダ内のack番号(上記参照)。

window

TCPヘッダ内の受信バッファサイズ(上記参照)。

urgent

TCPヘッダ内の緊急ポインタ(上記参照)。

option

TCPヘッダ内のオプション(上記参照)。

で、今回のやり取りの内容がこれ。

23:49:48.349338 arp who-has eden.hayagui.com tell jhon.hayagui.com
23:49:48.349374 arp reply eden.hayagui.com is-at 0:40:63:c0:55:c5
23:49:48.349447 jhon.hayagui.com.ansoft-lm-2 > eden.hayagui.com.ftp: S 4195837982:4195837982(0) win 16384  (DF)
23:49:48.349643 eden.hayagui.com.ftp > jhon.hayagui.com.ansoft-lm-2: S 4101972882:4101972882(0) ack 4195837983 win 65535 
23:49:48.349728 jhon.hayagui.com.ansoft-lm-2 > eden.hayagui.com.ftp: . ack 1 win 17520 (DF)
23:49:48.397320 eden.hayagui.com.ftp > jhon.hayagui.com.ansoft-lm-2: P 1:58(57) ack 1 win 65535 (DF) [tos 0x10] 
23:49:48.398148 jhon.hayagui.com.ansoft-lm-2 > eden.hayagui.com.ftp: P 1:12(11) ack 58 win 17463 (DF)
23:49:48.426498 eden.hayagui.com.ftp > jhon.hayagui.com.ansoft-lm-2: P 58:91(33) ack 12 win 65535 (DF) [tos 0x10] 
23:49:48.427067 jhon.hayagui.com.ansoft-lm-2 > eden.hayagui.com.ftp: P 12:27(15) ack 91 win 17430 (DF)
23:49:48.482410 eden.hayagui.com.ftp > jhon.hayagui.com.ansoft-lm-2: P 91:117(26) ack 27 win 65535 (DF) [tos 0x10] 
23:49:48.485861 jhon.hayagui.com.ansoft-lm-2 > eden.hayagui.com.ftp: P 27:47(20) ack 117 win 17404 (DF)
23:49:48.486128 eden.hayagui.com.ftp > jhon.hayagui.com.ansoft-lm-2: P 117:146(29) ack 47 win 65535 (DF) [tos 0x10] 
23:49:48.486713 jhon.hayagui.com.ansoft-lm-2 > eden.hayagui.com.ftp: P 47:53(6) ack 146 win 17375 (DF)
23:49:48.486854 eden.hayagui.com.ftp > jhon.hayagui.com.ansoft-lm-2: P 146:190(44) ack 53 win 65535 (DF) [tos 0x10] 
23:49:48.487745 jhon.hayagui.com.ansoft-lm-2 > eden.hayagui.com.ftp: P 53:61(8) ack 190 win 17331 (DF)
23:49:48.487819 eden.hayagui.com.ftp > jhon.hayagui.com.ansoft-lm-2: P 190:210(20) ack 61 win 65535 (DF) [tos 0x10] 
23:49:48.492333 jhon.hayagui.com.ansoft-lm-2 > eden.hayagui.com.ftp: P 61:84(23) ack 210 win 17311 (DF)
23:49:48.492432 eden.hayagui.com.ftp > jhon.hayagui.com.ansoft-lm-2: P 210:240(30) ack 84 win 65535 (DF) [tos 0x10] 
23:49:48.492887 jhon.hayagui.com.ansoft-lm-2 > eden.hayagui.com.ftp: P 84:95(11) ack 240 win 17281 (DF)
23:49:48.494996 eden.hayagui.com.ftp-data > jhon.hayagui.com.1085: S 442920279:442920279(0) win 65535  (DF) [tos 0x8] 
23:49:48.495099 jhon.hayagui.com.1085 > eden.hayagui.com.ftp-data: S 4195924913:4195924913(0) ack 442920280 win 17520  (DF)
23:49:48.495153 eden.hayagui.com.ftp-data > jhon.hayagui.com.1085: . ack 1 win 33304  (DF) [tos 0x8] 
23:49:48.495349 eden.hayagui.com.ftp > jhon.hayagui.com.ansoft-lm-2: P 240:295(55) ack 95 win 65535 (DF) [tos 0x10] 
23:49:48.531795 eden.hayagui.com.ftp > jhon.hayagui.com.ansoft-lm-2: P 295:319(24) ack 95 win 65535 (DF) [tos 0x10] 
23:49:48.531851 eden.hayagui.com.ftp-data > jhon.hayagui.com.1085: FP 1:591(590) ack 1 win 33304  (DF) [tos 0x8] 
23:49:48.532044 jhon.hayagui.com.1085 > eden.hayagui.com.ftp-data: . ack 592 win 16930  (DF)
23:49:48.532620 jhon.hayagui.com.1085 > eden.hayagui.com.ftp-data: F 1:1(0) ack 592 win 16930  (DF)
23:49:48.532652 eden.hayagui.com.ftp-data > jhon.hayagui.com.1085: . ack 2 win 33304  (DF) [tos 0x8] 
23:49:49.485753 eden.hayagui.com.ftp > jhon.hayagui.com.ansoft-lm-2: P 240:319(79) ack 95 win 65535 (DF) [tos 0x10] 
23:49:49.485867 jhon.hayagui.com.ansoft-lm-2 > eden.hayagui.com.ftp: . ack 319 win 17202 (DF)
23:49:50.939640 jhon.hayagui.com.ansoft-lm-2 > eden.hayagui.com.ftp: F 95:95(0) ack 319 win 17202 (DF)
23:49:50.939676 eden.hayagui.com.ftp > jhon.hayagui.com.ansoft-lm-2: . ack 96 win 65535 (DF) [tos 0x10] 
23:49:50.939753 eden.hayagui.com.ftp > jhon.hayagui.com.ansoft-lm-2: P 319:356(37) ack 96 win 65535 (DF) [tos 0x10] 
23:49:50.939849 jhon.hayagui.com.ansoft-lm-2 > eden.hayagui.com.ftp: R 4195838078:4195838078(0) win 0 (DF)

jhon から eden 、eden から jhon へパケットが流れていることがわかりますが、データの内容がわかりませんので、次は、詳細なデータをキャプチャします。以下は、jhon からのパケットを dump2.bin に保存する意味です。

eden# tcpdump -w dump2.bin host jhon

再度、Windows2000 の jhon 機から、ffftp.exe を使用して ftpログインし直ぐ切断します。 eden で、Ctrl + c して tcpdump を終了させます。
保存したバイナリ(dump2.bin)からデータを抜き出します。

eden# tcpdump -X -vvv -n -r dump2.bin > dump2.txt

この dump2.txt を見ると、こんな感じになっています。ところどころ、コメントを入れました。

00:21:55.645887 192.168.0.6.138 > 192.168.0.255.138:
>>> NBT UDP PACKET(138) Res=0x1102 ID=0x8078 IP=192 (0xc0).168 (0xa8).0 (0x0).6
(0x6) Port=138 (0x8a) Length=191 (0xbf) Res2=0x0
SourceName=JHON            NameType=0x00 (Workstation)
DestName=
WARNING: Short packet. Try increasing the snap length

 (ttl 128, id 901, len 233)
0x0000   4500 00e9 0385 0000 8011 b429 c0a8 0006        E..........)....
0x0010   c0a8 00ff 008a 008a 00d5 c3e6 1102 8078        ...............x
0x0020   c0a8 0006 008a 00bf 0000 2045 4b45 4945        ...........EKEIE
0x0030   5045 4f43 4143 4143 4143 4143 4143 4143        PEOCACACACACACAC
0x0040   4143 4143 4143 4143 4141 4100 2041 4241        ACACACACAAA..ABA
0x0050   4346                                           CF
00:22:05.977037 arp who-has 192.168.0.8 tell 192.168.0.6
0x0000   0001 0800 0604 0001 0020 ed1e bf18 c0a8        ................
0x0010   0006 0000 0000 0000 c0a8 0008 2020 2020        ................
0x0020   2020 2020 2020 2020 2020 2020 2020             ..............
00:22:05.977092 arp reply 192.168.0.8 is-at 0:40:63:c0:55:c5
0x0000   0001 0800 0604 0002 0040 63c0 55c5 c0a8        .........@c.U...
0x0010   0008 0020 ed1e bf18 c0a8 0006 2020 2020        ................
0x0020   2020 2020 2020 2020 2020 2020 2020             ..............
00:22:05.977165 192.168.0.6.1093 > 192.168.0.8.21: S [tcp sum ok] 344217893:3442
17893(0) win 16384  (DF) (ttl 128, id 902, len 48)
0x0000   4500 0030 0386 4000 8006 75e3 c0a8 0006        E..0..@...u.....
0x0010   c0a8 0008 0445 0015 1484 5925 0000 0000        .....E....Y%....
0x0020   7002 4000 4fbd 0000 0204 05b4 0101 0402        p.@.O...........

このデータについて。

4500

バージョンが 4 。
ヘッダ長が 5 * 4Byte = 20 Byte。
サービスタイプが 00　。

0030

パケット長が 0x30 = 48Byte

0386

パケットID が 0x0386。

4000

4000 は、0100 0000 0000 0000 。断片化を判断するフラグが、 010 。断片化されていない。
残りはフラグメントオフセット。0

8006

透過可能なルータの残り数は、0x80 。プロトコルタイプは、0x06 なので、TCP。

75e3

ヘッダチェックサムが 0x75e3。

c0a8 0006

送信元のIPアドレスが 192(0xc0).168(0xa8).0(0x00).6(0x06)

c0a8 0008

送信先のIPアドレスが 192(0xc0).168(0xa8).0(0x00).8(0x08)

ここからTCPヘッダ。

0445

送信元ポート番号が 1093(0x0445)

0015

送信先ポート番号が 21(0x15)

1484 5925

シーケンス番号が 344217893(0x14845925)

0000 0000

次に受信(ack)を期待しているシーケンス番号は、0

7002

7002 は、0111 0000 0000 0010 。
最初の 7 はデータオフセット値なので、 7 * 4Byte = 28 Byte がTCPヘッダの長さ。
後の 00 0010 は、コントロールビットで、SYN が立っていることの意味。

4000

受信可能なサイズは、 0x4000。

4fbd

チェックサムは、0x4fbd。

0000

緊急ポインタは、0x0000。

0204 05b4

オプション

0101 0402

データ

00:22:05.977326 192.168.0.8.21 > 192.168.0.6.1093: S [tcp sum ok] 704659226:7046
59226(0) ack 344217894 win 65535  (ttl 64, id 289, len 44)
0x0000   4500 002c 0121 0000 4006 f84c c0a8 0008        E..,.!..@..L....
0x0010   c0a8 0006 0015 0445 2a00 3f1a 1484 5926        .......E*.?...Y&
0x0020   6012 ffff 3b99 0000 0204 05b4 0006             `...;.........
00:22:05.977409 192.168.0.6.1093 > 192.168.0.8.21: . [tcp sum ok] 1:1(0) ack 1 w
in 17520 (DF) (ttl 128, id 903, len 40)
0x0000   4500 0028 0387 4000 8006 75ea c0a8 0006        E..(..@...u.....
0x0010   c0a8 0008 0445 0015 1484 5926 2a00 3f1b        .....E....Y&*.?.
0x0020   5010 4470 0ee6 0000 2020 2020 2020             P.Dp..........
00:22:05.993278 192.168.0.8.21 > 192.168.0.6.1093: P 1:58(57) ack 1 win 65535 (D
F) [tos 0x10]  (ttl 64, id 294, len 97)
0x0000   4510 0061 0126 4000 4006 b802 c0a8 0008        E..a.&@.@.......
0x0010   c0a8 0006 0015 0445 2a00 3f1b 1484 5926        .......E*.?...Y&
0x0020   5018 ffff d994 0000 3232 3020 6564 656e        P.......220.eden
0x0030   2e68 6179 6167 7569 2e63 6f6d 2046 5450        .hayagui.com.FTP
0x0040   2073 6572 7665 7220 2856 6572 7369 6f6e        .server.(Version
0x0050   2036                                           .6
00:22:05.994084 192.168.0.6.1093 > 192.168.0.8.21: P [tcp sum ok] 1:12(11) ack 5
8 win 17463 (DF) (ttl 128, id 904, len 51)
0x0000   4500 0033 0388 4000 8006 75de c0a8 0006        E..3..@...u.....
0x0010   c0a8 0008 0445 0015 1484 5926 2a00 3f54        .....E....Y&*.?T
0x0020   5018 4437 7550 0000 5553 4552 2068 6f67        P.D7uP..USER.hog
0x0030   650d 0a                                        e..

hoge というユーザ名で、USER コマンドが実行されたことがわかります。

00:22:05.995212 192.168.0.8.21 > 192.168.0.6.1093: P [tcp sum ok] 58:91(33) ack
12 win 65535 (DF) [tos 0x10]  (ttl 64, id 295, len 73)
0x0000   4510 0049 0127 4000 4006 b819 c0a8 0008        E..I.'@.@.......
0x0010   c0a8 0006 0015 0445 2a00 3f54 1484 5931        .......E*.?T..Y1
0x0020   5018 ffff 8ea8 0000 3333 3120 5061 7373        P.......331.Pass
0x0030   776f 7264 2072 6571 7569 7265 6420 666f        word.required.fo
0x0040   7220 686f 6765 2e0d 0a                         r.hoge...

パスワード頂戴。

00:22:05.995726 192.168.0.6.1093 > 192.168.0.8.21: P [tcp sum ok] 12:27(15) ack
91 win 17430 (DF) (ttl 128, id 905, len 55)
0x0000   4500 0037 0389 4000 8006 75d9 c0a8 0006        E..7..@...u.....
0x0010   c0a8 0008 0445 0015 1484 5931 2a00 3f75        .....E....Y1*.?u
0x0020   5018 4416 9782 0000 5041 5353 2068 6f67        P.D.....PASS.hog
0x0030   6568 6f67 650d 0a                              ehoge..

PASS コマンドでパスワードが渡ったことがわかります。

00:22:06.006491 192.168.0.8.21 > 192.168.0.6.1093: P [tcp sum ok] 91:117(26) ack
 27 win 65535 (DF) [tos 0x10]  (ttl 64, id 296, len 66)
0x0000   4510 0042 0128 4000 4006 b81f c0a8 0008        E..B.(@.@.......
0x0010   c0a8 0006 0015 0445 2a00 3f75 1484 5940        .......E*.?u..Y@
0x0020   5018 ffff 6bba 0000 3233 3020 5573 6572        P...k...230.User
0x0030   2068 6f67 6520 6c6f 6767 6564 2069 6e2e        .hoge.logged.in.
0x0040   0d0a                                           ..
00:22:06.009846 192.168.0.6.1093 > 192.168.0.8.21: P [tcp sum ok] 27:47(20) ack
117 win 17404 (DF) (ttl 128, id 906, len 60)
0x0000   4500 003c 038a 4000 8006 75d3 c0a8 0006        E..<..@...u.....
0x0010   c0a8 0008 0445 0015 1484 5940 2a00 3f8f        .....E....Y@*.?.
0x0020   5018 43fc 036d 0000 4357 4420 2f75 7372        P.C..m..CWD./usr
0x0030   2f68 6f6d 652f 686f 6765 0d0a                  /home/hoge..

CMD コマンドで、カレントディレクトリの変更指示が渡ったことがわかります。

00:22:06.010106 192.168.0.8.21 > 192.168.0.6.1093: P [tcp sum ok] 117:146(29) ac
k 47 win 65535 (DF) [tos 0x10]  (ttl 64, id 297, len 69)
0x0000   4510 0045 0129 4000 4006 b81b c0a8 0008        E..E.)@.@.......
0x0010   c0a8 0006 0015 0445 2a00 3f8f 1484 5954        .......E*.?...YT
0x0020   5018 ffff 752a 0000 3235 3020 4357 4420        P...u*..250.CWD.
0x0030   636f 6d6d 616e 6420 7375 6363 6573 7366        command.successf
0x0040   756c 2e0d 0a                                   ul...

CMD コマンド成功。

00:22:06.010663 192.168.0.6.1093 > 192.168.0.8.21: P [tcp sum ok] 47:53(6) ack 1
46 win 17375 (DF) (ttl 128, id 907, len 46)
0x0000   4500 002e 038b 4000 8006 75e0 c0a8 0006        E.....@...u.....
0x0010   c0a8 0008 0445 0015 1484 5954 2a00 3fac        .....E....YT*.?.
0x0020   5018 43df 520b 0000 5850 5744 0d0a             P.C.R...XPWD..
00:22:06.010802 192.168.0.8.21 > 192.168.0.6.1093: P 146:190(44) ack 53 win 6553
5 (DF) [tos 0x10]  (ttl 64, id 298, len 84)
0x0000   4510 0054 012a 4000 4006 b80b c0a8 0008        E..T.*@.@.......
0x0010   c0a8 0006 0015 0445 2a00 3fac 1484 595a        .......E*.?...YZ
0x0020   5018 ffff 9280 0000 3235 3720 222f 7573        P.......257."/us
0x0030   722f 686f 6d65 2f68 6f67 6522 2069 7320        r/home/hoge".is.
0x0040   6375 7272 656e 7420 6469 7265 6374 6f72        current.director
0x0050   792e                                           y.

XPWD コマンドでカレントディレクトリが返る。

00:22:06.011563 192.168.0.6.1093 > 192.168.0.8.21: P [tcp sum ok] 53:61(8) ack 1
90 win 17331 (DF) (ttl 128, id 908, len 48)
0x0000   4500 0030 038c 4000 8006 75dd c0a8 0006        E..0..@...u.....
0x0010   c0a8 0008 0445 0015 1484 595a 2a00 3fd8        .....E....YZ*.?.
0x0020   5018 43b3 3cb8 0000 5459 5045 2041 0d0a        P.C.<...TYPE.A..
00:22:06.011636 192.168.0.8.21 > 192.168.0.6.1093: P [tcp sum ok] 190:210(20) ac
k 61 win 65535 (DF) [tos 0x10]  (ttl 64, id 299, len 60)
0x0000   4510 003c 012b 4000 4006 b822 c0a8 0008        E..<.+@.@.."....
0x0010   c0a8 0006 0015 0445 2a00 3fd8 1484 5962        .......E*.?...Yb
0x0020   5018 ffff c75d 0000 3230 3020 5479 7065        P....]..200.Type
0x0030   2073 6574 2074 6f20 412e 0d0a                  .set.to.A...

TYPE コマンドでファイルのタイプが指定。

00:22:06.016495 192.168.0.6.1093 > 192.168.0.8.21: P [tcp sum ok] 61:84(23) ack
210 win 17311 (DF) (ttl 128, id 909, len 63)
0x0000   4500 003f 038d 4000 8006 75cd c0a8 0006        E..?..@...u.....
0x0010   c0a8 0008 0445 0015 1484 5962 2a00 3fec        .....E....Yb*.?.
0x0020   5018 439f c53b 0000 504f 5254 2031 3932        P.C..;..PORT.192
0x0030   2c31 3638 2c30 2c36 2c34 2c37 300d 0a          ,168,0,6,4,70..
00:22:06.016602 192.168.0.8.21 > 192.168.0.6.1093: P [tcp sum ok] 210:240(30) ac
k 84 win 65535 (DF) [tos 0x10]  (ttl 64, id 300, len 70)
0x0000   4510 0046 012c 4000 4006 b817 c0a8 0008        E..F.,@.@.......
0x0010   c0a8 0006 0015 0445 2a00 3fec 1484 5979        .......E*.?...Yy
0x0020   5018 ffff 9524 0000 3230 3020 504f 5254        P....$..200.PORT
0x0030   2063 6f6d 6d61 6e64 2073 7563 6365 7373        .command.success
0x0040   6675 6c2e 0d0a                                 ful...

PORT コマンドで、データ転送ホストのIPアドレスとポート番号を指定。

00:22:06.017040 192.168.0.6.1093 > 192.168.0.8.21: P [tcp sum ok] 84:95(11) ack
240 win 17281 (DF) (ttl 128, id 910, len 51)
0x0000   4500 0033 038e 4000 8006 75d8 c0a8 0006        E..3..@...u.....
0x0010   c0a8 0008 0445 0015 1484 5979 2a00 400a        .....E....Yy*.@.
0x0020   5018 4381 9538 0000 4e4c 5354 202d 616c        P.C..8..NLST.-al
0x0030   4c0d 0a                                        L..

NLST コマンドでファイル名のリストを返す。

00:22:06.019144 192.168.0.8.20 > 192.168.0.6.1094: S [tcp sum ok] 3988720552:398
8720552(0) win 65535  (DF) [to
s 0x8]  (ttl 64, id 301, len 60)
0x0000   4508 003c 012d 4000 4006 b828 c0a8 0008        E..<.-@.@..(....
0x0010   c0a8 0006 0014 0446 edbf 0ba8 0000 0000        .......F........
0x0020   a002 ffff cec8 0000 0204 05b4 0103 0301        ................
0x0030   0101 080a 0003 fd1a 0000 0000                  ............
00:22:06.019247 192.168.0.6.1094 > 192.168.0.8.20: S [tcp sum ok] 344260977:3442
60977(0) ack 3988720553 win 17520 
(DF) (ttl 128, id 911, len 60)
0x0000   4500 003c 038f 4000 8006 75ce c0a8 0006        E..<..@...u.....
0x0010   c0a8 0008 0446 0014 1485 0171 edbf 0ba9        .....F.....q....
0x0020   a012 4470 7170 0000 0204 05b4 0103 0300        ..Dpqp..........
0x0030   0101 080a 0000 0000 0000 0000                  ............
00:22:06.019296 192.168.0.8.20 > 192.168.0.6.1094: . [tcp sum ok] 1:1(0) ack 1 w
in 33304  (DF) [tos 0x8]  (ttl 64, id 302, len 52)
0x0000   4508 0034 012e 4000 4006 b82f c0a8 0008        E..4..@.@../....
0x0010   c0a8 0006 0014 0446 edbf 0ba9 1485 0172        .......F.......r
0x0020   8010 8218 626e 0000 0101 080a 0003 fd1a        ....bn..........
0x0030   0000 0000                                      ....
00:22:06.019493 192.168.0.8.21 > 192.168.0.6.1093: P 240:295(55) ack 95 win 6553
5 (DF) [tos 0x10]  (ttl 64, id 303, len 95)
0x0000   4510 005f 012f 4000 4006 b7fb c0a8 0008        E.._./@.@.......
0x0010   c0a8 0006 0015 0445 2a00 400a 1484 5984        .......E*.@...Y.
0x0020   5018 ffff a9f2 0000 3135 3020 4f70 656e        P.......150.Open
0x0030   696e 6720 4153 4349 4920 6d6f 6465 2064        ing.ASCII.mode.d
0x0040   6174 6120 636f 6e6e 6563 7469 6f6e 2066        ata.connection.f
0x0050   6f72                                           or
00:22:06.025151 192.168.0.8.21 > 192.168.0.6.1093: P [tcp sum ok] 295:319(24) ac
k 95 win 65535 (DF) [tos 0x10]  (ttl 64, id 304, len 64)
0x0000   4510 0040 0130 4000 4006 b819 c0a8 0008        E..@.0@.@.......
0x0010   c0a8 0006 0015 0445 2a00 4041 1484 5984        .......E*.@A..Y.
0x0020   5018 ffff 82bc 0000 3232 3620 5472 616e        P.......226.Tran
0x0030   7366 6572 2063 6f6d 706c 6574 652e 0d0a        sfer.complete...
00:22:06.025207 192.168.0.8.20 > 192.168.0.6.1094: FP 1:591(590) ack 1 win 33304
  (DF) [tos 0x8]  (ttl 64, id 305, len 642)
0x0000   4508 0282 0131 4000 4006 b5de c0a8 0008        E....1@.@.......
0x0010   c0a8 0006 0014 0446 edbf 0ba9 1485 0172        .......F.......r
0x0020   8019 8218 9815 0000 0101 080a 0003 fd1b        ................
0x0030   0000 0000 746f 7461 6c20 3232 0d0a 6472        ....total.22..dr
0x0040   7778 722d 7872 2d78 2020 3220 686f 6765        wxr-xr-x..2.hoge
0x0050   2020                                           ..
00:22:06.025403 192.168.0.6.1094 > 192.168.0.8.20: . [tcp sum ok] 1:1(0) ack 592
 win 16930  (DF) (ttl 128, id 913, len 52)
0x0000   4500 0034 0391 4000 8006 75d4 c0a8 0006        E..4..@...u.....
0x0010   c0a8 0008 0446 0014 1485 0172 edbf 0df8        .....F.....r....
0x0020   8010 4222 5c81 0000 0101 080a 0001 4392        ..B"\.........C.
0x0030   0003 fd1b                                      ....
00:22:06.025861 192.168.0.6.1094 > 192.168.0.8.20: F [tcp sum ok] 1:1(0) ack 592
 win 16930  (DF) (ttl 128, id 914, len 52)
0x0000   4500 0034 0392 4000 8006 75d3 c0a8 0006        E..4..@...u.....
0x0010   c0a8 0008 0446 0014 1485 0172 edbf 0df8        .....F.....r....
0x0020   8011 4222 5c80 0000 0101 080a 0001 4392        ..B"\.........C.
0x0030   0003 fd1b                                      ....
00:22:06.025894 192.168.0.8.20 > 192.168.0.6.1094: . [tcp sum ok] 592:592(0) ack
 2 win 33304  (DF) [tos 0x8]  (ttl 64, id 306, l
en 52)
0x0000   4508 0034 0132 4000 4006 b82b c0a8 0008        E..4.2@.@..+....
0x0010   c0a8 0006 0014 0446 edbf 0df8 1485 0173        .......F.......s
0x0020   8010 8218 1c8a 0000 0101 080a 0003 fd1b        ................
0x0030   0001 4392                                      ..C.
00:22:07.014976 192.168.0.8.21 > 192.168.0.6.1093: P 240:319(79) ack 95 win 6553
5 (DF) [tos 0x10]  (ttl 64, id 307, len 119)
0x0000   4510 0077 0133 4000 4006 b7df c0a8 0008        E..w.3@.@.......
0x0010   c0a8 0006 0015 0445 2a00 400a 1484 5984        .......E*.@...Y.
0x0020   5018 ffff b40b 0000 3135 3020 4f70 656e        P.......150.Open
0x0030   696e 6720 4153 4349 4920 6d6f 6465 2064        ing.ASCII.mode.d
0x0040   6174 6120 636f 6e6e 6563 7469 6f6e 2066        ata.connection.f
0x0050   6f72                                           or
00:22:07.015078 192.168.0.6.1093 > 192.168.0.8.21: . [tcp sum ok] 95:95(0) ack 3
19 win 17202 (DF) (ttl 128, id 915, len 40)
0x0000   4500 0028 0393 4000 8006 75de c0a8 0006        E..(..@...u.....
0x0010   c0a8 0008 0445 0015 1484 5984 2a00 4059        .....E....Y.*.@Y
0x0020   5010 4332 0e88 0000 2020 2020 2020             P.C2..........
00:22:07.953270 192.168.0.6.1093 > 192.168.0.8.21: F [tcp sum ok] 95:95(0) ack 3
19 win 17202 (DF) (ttl 128, id 916, len 40)
0x0000   4500 0028 0394 4000 8006 75dd c0a8 0006        E..(..@...u.....
0x0010   c0a8 0008 0445 0015 1484 5984 2a00 4059        .....E....Y.*.@Y
0x0020   5011 4332 0e87 0000 2020 2020 2020             P.C2..........
00:22:07.953304 192.168.0.8.21 > 192.168.0.6.1093: . [tcp sum ok] 319:319(0) ack
 96 win 65535 (DF) [tos 0x10]  (ttl 64, id 308, len 40)
0x0000   4510 0028 0134 4000 4006 b82d c0a8 0008        E..(.4@.@..-....
0x0010   c0a8 0006 0015 0445 2a00 4059 1484 5985        .......E*.@Y..Y.
0x0020   5010 ffff 51b9 0000 0a32 3236 2054             P...Q....226.T
00:22:07.953379 192.168.0.8.21 > 192.168.0.6.1093: P [tcp sum ok] 319:356(37) ac
k 96 win 65535 (DF) [tos 0x10]  (ttl 64, id 309, len 77)
0x0000   4510 004d 0135 4000 4006 b807 c0a8 0008        E..M.5@.@.......
0x0010   c0a8 0006 0015 0445 2a00 4059 1484 5985        .......E*.@Y..Y.
0x0020   5018 ffff 605f 0000 3232 3120 596f 7520        P...`_..221.You.
0x0030   636f 756c 6420 6174 206c 6561 7374 2073        could.at.least.s
0x0040   6179 2067 6f6f 6462 7965 2e0d 0a               ay.goodbye...
00:22:07.953472 192.168.0.6.1093 > 192.168.0.8.21: R [tcp sum ok] 344217989:3442
17989(0) win 0 (DF) (ttl 128, id 917, len 40)
0x0000   4500 0028 0395 4000 8006 75dc c0a8 0006        E..(..@...u.....
0x0010   c0a8 0008 0445 0015 1484 5985 2a00 4059        .....E....Y.*.@Y
0x0020   5004 0000 51c5 0000 2020 2020 2020             P...Q.........

パケット解析に使えますね～。

この場合は、eden のネットワークカードに届くパケットを解析しましたが、Windows と Windows のやり取りを解析する場合は、スイッチングではない HUB を使うことで解析できます。DAM HUB だと、Windows A から Windows B に流れるパケットは、eden にも到達するからです。

  +--------------------------------+
  |              HUB               |
  +--+--------------+-----------+--+
     |              |           |
  +--+--------+ +---+-------+ +-+----+
  | Windows A | | Windows B | | eden |
  +-----------+ +-----------+ +------+

戻る