• ベストアンサー
  • 困ってます

TCPパケット解析

下記は、何を使用としているのかを、解析したいと思っています。 Source / destination /protocol /length /info A / B / TCP / 54 / 10085-80 (ACK) Seq=572 Ack=2032 win=65700 Len=0 B / A / TCP / 54 / 80-10085 (FIN, ACK) Seq=2032 Ack=572 win=6992 Len=0 A / B / TCP / 54 / 10085-80 (ACK) Seq=572 Ack=2033 win=65700 Len=0 A / B / TCP / 54 / 10085-80 (FIN, ACK) Seq=572 Ack=2033 win=65700 Len=0 B / A / TCP / 54 / 80-10085 (ACK) Seq=2033 Ack=573 win=6992 Len=0 素人に説明出来る方、宜しくお願い致します。

noname#214131

共感・応援の気持ちを伝えよう!

  • 回答数1
  • 閲覧数102
  • ありがとう数1

質問者が選んだベストアンサー

  • ベストアンサー
  • 回答No.1

TCPコネクションを切断しているところって回答で良いのでしょうか。 素人ってありますが、どの程度の素人なのでしょうか。 回答ですが、もっと細かく最初の行からA、Bと何か、TCPとは何か、54が何を意味するのか、ポート番号やACK、FINなどは何か...の解説が欲しいのか、そもそも、このパケットとは何なのかって話がしたいのか、具体的に質問された方が良い回答がもらえると思います。 データベースのカテゴリーですが、ひょっとしてデータベースのパケットの話だったでしょか。

共感・感謝の気持ちを伝えよう!

質問者からのお礼

コメント有難う御座いました。 解決しましたので、締切させて頂きます。

関連するQ&A

  • BBルータでTCP通信のデータ部が捨てられている?

    インターネット上のServerと自宅PC間でWebを併用したデータ交換をしているのですが、ある限られたデータ部のみ、自宅のBBルータにより毎回捨てられているようで受信できません。 Serverと自宅PC(Client)にEtherealを同時に仕掛けPacketをモニタリングしました。 Server側のLogを見る限り、Serverは該当データを正しく送り、BBルータも正しく受信しているようです。 しかし、Client側のLogを見ると、その部分は Len=0 になっており、ヘッダ部だけのPacketが送信されて来たかのようになっております。 BBルータの設定可能項目では、いたって通常の設定になっており、また、自宅PCはWindowsXP SP2でFirewallはOff、ウィルス対策ソフトもアンインストール状態で実験しております。今回のトラブル以外は全てにおいて不具合は発生しておりません。 何か単純なTCP規則違反に該当しているのではとRFC793も確認したのですが原因がわかりません。 該当部分のEtherealのLogは以下の通りです。 何か大事なことを忘れていそうなのですが、どなたかご教授をお願い致します。 <Server側Log> ※No.292~294は3way handshakeです。 ※()内はTCP詳細部の内容抜粋です。 ※Server側のPortはWeb併用なので80番をそのまま使用。 No. SRC  DIST  Prot  Info 295 Client Server HTTP Continuation or non-HTTP Trafic 296 Server Client HTTP Continuation or non-HTTP Trafic (http > 62327 [PSH,ACK] Seq=1 Ack=24 Win=65512 Len=90) 297 Server Client TCP http > 62327 [FIN,ACK] Seq=91 Ack=24 Win=65512 Len=0 298 Client Server TCP 62327 > http [ACK] Seq=24 Ack=92 Win=65535 Len=0 299 Client Server TCP 62327 > http [FIN,ACK] Seq=24 Ack=92 Win=65535 Len=0 300 Server Client TCP http > 62327 [ACK] Seq=92 Ack=25 Win=65512 Len=0 <Client側Log> ※No.295と297~300はServer側Logと矛盾はありません。 No. SRC  DIST  Prot  Info 296 Server Client TCP http > 1157 [PSH,ACK] Seq=1 Ack=24 Win=65512 Len=0 以上

  • パケットの見方教えてください。

    PINGをおこなってパケットの情報を見たのですが、何が何かわかりません。 Flags: 0x00 Status: 0x00 Packet Length:146 Timestamp: Ethernet Header Destination: 00:0A:95:6A:BB:78 Source: 00:A0:DE:0C:99:5B Protocol Type:0x0800 IP IP Header - Internet Protocol Datagram Version: 4 Header Length: 5 (20 bytes) Type of Service: %00000000 Precedence: Routine, Normal Delay, Normal Throughput, Normal Reliability Total Length: 128 Identifier: 22117 Fragmentation Flags: %010 Do Not Fragment Last Fragment Fragment Offset: 0 (0 bytes) Time To Live: 254 Protocol: 1 ICMP Header Checksum: 0xD3C0 Source IP Address: Dest. IP Address: No IP Options ICMP - Internet Control Messages Protocol ICMP Type: 8 Echo Request Code: 0 Checksum: 0x7E83 Identifier: 0x4244 Sequence Number: 0x0001 ICMP Data Area: Frame Check Sequence: 0x00000000 これって、どういう意味ですか? 英語も普通の訳とは違いますし、それぞれが何を表しているかもわかりません。もしよろしければ教えてください。 また、パケットについて詳しいサイトがあればそれもお願いします。

  • WiresharkのFlow Graph

    現在WiresharkのFlow Graphという機能を使用して、クライアント端末がサーバー端末へのTCP通信での3ウェイハンドシェイクのパケットやりとりを観測したいと思っています。 次のようなパケットをモニターしました。 |Time | 192.168.1.111 | | | | 192.168.1.222 | |6.402 | PSH, ACK - Len: 1212 |Seq = 1 Ack = 1 | |(6057) ------------------> (5000) | |6.606 | PSH, ACK - Len: 1212 |Seq = 1 Ack = 1 | |(6057) ------------------> (5000) | |6.835 | PSH, ACK - Len: 1212 |Seq = 1 Ack = 1213 | |(6057) <------------------ (5000) | |7.039 | ACK | |Seq = 1213 Ack = 1213 | |(6057) ------------------> (5000) | |7.150 | ACK | |Seq = 1213 Ack = 1213 このパケットのやりとりを観ていて思ったのですが、TCP通信は3ウェイハンドシェイクは SYN--->SYN ACK---> ACK という順序でのパケットのやりとりをクライアントとサーバー間で行うと思っていたのですが、 PSH, ACK ----> PSH, ACK ----> ACK ----> ACK このような順序になっているように思うのですが、これはなぜなのかご教授頂けないでしょうか? どうぞ、よろしくお願い致します。

  • CentOSのポート解放

    TFPサーバを立てようと思い、CentOS5.6にproftpdをインストールしました。 しかし、ポート20番がしまっていてやりとりできません。 iptables -A INPUT -p tcp --dport 20 -j ACCEPTでポートを開き、 iptables -Lで確認すると target prot opt source destination ACCEPT tcp -- anywhere anywhere tcp dpt:ftp-data Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination となっています。 この状態で /etc/rc.d/init.d/iptables restart と行ったのですが、やはりだめです。 何がまずいのでしょうか。 netstatコマンドで確認すると21番は空いているのですが、20番がsynパケットの送信でとまっているようです。

  • ルーターのログの読み方 DOS攻撃?

    とても素人質問ですみません。 ルータ NETGEAR DGND3300v2 を使用し15台ほどのPC(Win+Mac+iphone)が接続されている環境があります。 MACアドレスを登録してそれ以外はwifi接続できません。 最近、異様に通信量が多い日があるので、ちょっとログを覗いていたら以下のようなモノを発見。 Wed, 2011-07-06 00:03:17 - TCP Packet - Source:192.168.0.23,51037 Destination:74.125.237.77,80 - [BLOCK] Wed, 2011-07-06 00:08:10 - DHCP server received REQUEST from 00:24:2C:44:04:EF Wed, 2011-07-06 00:40:32 - TCP Packet - Source:192.168.0.25,61214 Destination:74.125.237.79,80 - [BLOCK] Wed, 2011-07-06 00:40:36 - TCP Packet - Source:192.168.0.25,61215 Destination:74.125.237.79,80 - [BLOCK] Wed, 2011-07-06 00:40:38 - TCP Packet - Source:192.168.0.25,61216 Destination:74.125.237.79,80 - [BLOCK] Wed, 2011-07-06 05:34:01 - Administrator login failure - IP:192.168.0.10 Wed, 2011-07-06 05:34:27 - Administrator admin login successful - IP:192.168.0.10 Wed, 2011-07-06 07:23:48 - DHCP server received REQUEST from 00:1B:FB:C6:DD:** Wed, 2011-07-06 14:51:23 - DHCP server received REQUEST from 00:24:2C:44:04:** Wed, 2011-07-06 15:30:22 - DHCP server received REQUEST from 4C:0F:6E:E3:F8:** Wed, 2011-07-06 17:34:13 - DHCP server received REQUEST from 4C:0F:6E:E8:FF:** Wed, 2011-07-06 17:55:46 - DHCP server received REQUEST from 18:E7:F4:37:B5:** Wed, 2011-07-06 21:10:55 - DHCP server received REQUEST from 48:5D:60:C0:34** Wed, 2011-07-06 21:36:55 - DHCP server received REQUEST from 90:00:4E:5A:AC** Wed, 2011-07-06 21:43:50 - UDP Packet - Source:58.237.217.176,53232 Destination:58.164.135.59,59039 - [DOS] ルータでBLOCKサイトを設定してます。 最後にBLOCKとあるのはどこかそれを見に行こうとしてBLOCKされたということなのでしょうが、どこを見に行ったかは分からないのでしょうか?知る方法はあるのでしょうか? また、最後にDOSとあるものは、DOS攻撃を受けているのでしょうか? もしくは踏み台にされているとか? 全くしらないIPアドレスが現れています、このsource・desitinationとはなんなのでしょうか? ちなみに、UPnPはルータ側でOFFしてありますが、UDP・・・と出てきます。これはどういう事なのでしょうか?  ご回答の程よろしくお願いします。

  • ICMP Echo Message はtcp,udpのポート7?

    ICMP Echo Message-Type0 (いわゆるping) は tcp(udp)ポート番号の"7"と 同じものなのでしょうか? (ウイルスバスターのパーソナルファイアウォールでは7/tcpのフィルタで  ping応答が止まりました) そうならば、他のICMP (TimestampやDestination...なんか)は tcp,udpの何番ポートで制御できるのでしょうか? 「質問自体間違っているよ!」って場合もご指摘ください。 よろしくお願いいたします。

  • iptablesのデフォルトの設定(#iptables -Lの見方)

    iptablesのデフォルトの設定(#iptables -Lの見方) について教えて頂けませんでしょうか。 教えて頂きたい箇所は、デフォルトのiptablesの設定の以下★の箇所です。 ==== Chain RH-Firewall-1-INPUT (2 references) num target prot opt source destination ★1 ACCEPT all -- anywhere anywhere ==== この★箇所は、すべてを許可しているように見えるのですが、例えば、http通信をする場合など、 なぜ追加設定が必要なのでしょうか。 <デフォルトのiptablesの設定> Chain INPUT (policy ACCEPT) num target prot opt source destination 1 RH-Firewall-1-INPUT all -- anywhere anywhere Chain FORWARD (policy ACCEPT) num target prot opt source destination 1 RH-Firewall-1-INPUT all -- anywhere anywhere Chain OUTPUT (policy ACCEPT) num target prot opt source destination Chain RH-Firewall-1-INPUT (2 references) num target prot opt source destination ★1 ACCEPT all -- anywhere anywhere 2 ACCEPT icmp -- anywhere anywhere icmp any 3 ACCEPT esp -- anywhere anywhere 4 ACCEPT ah -- anywhere anywhere 5 ACCEPT udp -- anywhere 224.0.0.251 udp dpt:mdns 6 ACCEPT udp -- anywhere anywhere udp dpt:ipp 7 ACCEPT tcp -- anywhere anywhere tcp dpt:ipp 8 ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED 9 ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:ssh 10 REJECT all -- anywhere anywhere reject-with icmp-host-prohibited お手数をおかけしますが、よろしくお願いします。

  • iptablesの設定について

    サーバから telent localhost 25 とやると、接続出来るのですが、別の離れた端末から telnet 192.168.1.11 25 等とやると、 接続中: ...ホストへ接続できませんでした。 ポート番号 25: 接続に失敗しました と出てしまいます。 おそらく、ファイアーウォールにはじかれているのでは、と思うのですが確認すると、以下のような項目があるため、ポートは空いているように思うのですが、ファイアーウォール的には大丈夫でしょうか? Chain SERVICE (1 references) target prot opt source destination ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:25

  • TCP FLOODの対処方法を教えてください

    私は、coregaの無線ブロードバンドルーターを 使っているのですが、7月28日から下記のlogが ブロードバンドルーターから頻繁に送られてくる ようになりました。1度はsecurity alertが送られて きました。内容は以下の通りです。 security alert [3c:85:c6] 2005-07-28 23:17:18 - TCP Flood - Source:206.204.51.133,11543,WAN - Destination:***.***.**.**,1284,LAN さまざまなsource address から1分間に 3回程度、私のIP addressの1284番port に対してSYN アタックをしてきている のではと思っているのですが違いますでしょうか。 ブロードバンドルーターから送られてくる メッセージは、ブロードバンドルーターの 1080番portでblockedしましたよ。 ということだと思っているのですが。 ルーターでブロックされているのでPCまでは 来ていないので大きな影響は無いと判断しております。 しかし、急にアタックが始まった理由、このような 場合にはどうしたらいいのか。放っておいても問題は 無いのかなど、対処策、アドバイスをいただければ と思い質問いたしました。 私は心配しており、防ぐ方法があれば防ぎたいと 考えているのですが、どうしていいのかわかりません でした。 以上です。 よろしくお願いいたします。 ------送られてくるlog一部抜粋-------------- [2005-07-30 17:41:13] | From:[58.0.236.146] | Port:[1080] | [Blocked] [2005-07-30 17:41:17] | From:[218.226.93.235] | Port:[1080] | [Blocked] [2005-07-30 17:42:13] | From:[218.182.240.254] | Port:[1080] | [Blocked] [2005-07-30 17:42:22] | From:[218.187.101.83] | Port:[1080] | [Blocked]

    • ベストアンサー
    • ADSL
  • wiresharkの見方がよく分からない(3ウェイハンドシェイク)。

    wiresharkを使って(遊んで?)、ネットワークの勉強をしているのですが(『実践 パケット解析』という本を読んでいます)、いまいち見方がよく分かりません。ネットワークの知識が乏しいせいかもしれませんが。 例えば、TCPの接続で、3ウェイハンドシェイクというものがあると思うのですが、その時のinfoで、 2580>http [syn] seq=0 Len=0 MSS=1460 という、表示があります。多分、一番最初のSYNパケットを送っているところだと思うのですが、なぜ最初にhttpという表示があるのでしょうか?まず、TCPで3ウェイハンドシェイクで行って、セッションを確立してからhttp…だと思っているのですが…。また、2580>の意味もよく分かりません。本には、この部分は触れられていませんでした。 よろしくお願いします。