Q&A
目的はパケットキャプチャする事ではなく、torrentクライアントの検出で合っていますか?
それともパケットキャプチャでやらなければならないなど、何かの制限はありますか?
率直に言って規模が不明なもののネッワーク内全てのパケットを監視してtorrentクライアントの検出は現実的ではなく、ネットワーク監視や統合脅威管理(UTM)か必要です。
費用的に厳しいのであればクライアントPCで動いているソフトウェアの監視が妥当なところでしょうか。
その辺は検討されていますか?
前提・実現したいこと
LAN内にあるBitTorrentクライアントがインストールされた端末を特定するために、パケットキャプチャしようと考えています。
しかしBitTorrentが利用しているポートが不明なため、ポート番号でフィルタができません。(ソフトによってはランダムなポートが割り当てられるため)
いつBitTorrentが使われるか予測ができず、キャプチャデータを保存し続けることが非現実的なため、可能であればBitTotrentのパケットだけをフィルタしたいのですが、何かいい方法はないでしょうか…。
補足情報
ルータ配下のLANに複数端末あり。ミラーポート付のスイッチを挟んでLAN内のトラフィックはキャプチャ可能です。
試してみたこと
- ディスプレイフィルタに
bittorrentを指定
→ フィルタはできたが全パケットのキャプチャとなってしまう
- キャプチャフィルタに
bittorrentを指定
→ ディスプレイフィルタの構文と異なるためSyntax Errorとなりキャプチャできない
追記ありがとうございます。
おっしゃる通り、目的はtorrentクライアントの検出です。費用的にも、保守体制的にもUTMや監視といったところは難しいです…。
規模は大きくないですが、厳密に接続端末を管理したり制限したりということも難しく、パケットキャプチャ仕掛けてなんちゃって監視してしまえという感じです。
予算など事情があるのですね。
全部の事情を知り得ないので無責任な事は言えないですが判断の一つとしてお考え下さい。
まず、今取り組まれてるtorrentの検出で全てなのでしょうか?
仮にtorrentだけのパケットキャプチャの仕組みを組み上げる費用、運用する費用でいくらになるのでしょうか?
UTMなどはおそらく予算オーバーと思いますがPC監視ソフトの類いはそこまでしませんよ。
もちろん出来ることが限られますが、torrentの利用検出はアプリケーション実行ログの取得で可能でしょう。
リアルタイムではなく周期的な検出になると思いますがそこはやり方で近づけることも出来るかもしれませんね。
パケットキャプチャ利用以外の解決策案ありがとうございます。PC監視ソフトのことなど、詳しくなかったので参考になります。
今回はTorrent検出のみです。お金はかけられないので、パケットキャプチャはあり物(ミラーポート付スイッチとWindows PC)だけで構築します。仕掛けてしばらく放置してから回収して確認するつもりなので、人の手もほぼかからない見込みです。
回答2件
0
コメント・回答くださったお二方、ありがとうございました。
あれやこれやと試して、自己解決に至りました。
Wiresharkに入っている、Wiresharkのコマンドラインツール、tsharkをPowerShellスクリプトに組み込んでタスクスケジューラで定期実行させることにしました。
PowerShell
1$datetime = Get-Date -Format 'yyyyMMddHHmmss' 2& 'C:\Program Files\Wireshark\tshark.exe' -Y bittorrent | Select-Object -First 100 | Out-File "${env:USERPROFILE}${datetime}.txt"
コマンドラインだとログを保存せずに垂れ流しにできるのでメモリやディスク容量を逼迫することもなさそうですし、BitTorrentの表示フィルタをかけた状態でファイルに出力してやることもできます。pcap形式で出力はできませんが、今回は対象端末が特定できればいいので問題ありません。(Out-File)
また、しばらく待ち構えてある程度ログが溜まったら自動的に終了もできるので便利です。(Select-Object -First 100)
投稿2019/06/03 09:29
総合スコア22
0
ベストアンサー
公式ドキュメントにはBitTorrentのキャプチャについてのドキュメントがあるようですが、いかがでしょうか?(フィルタとしてBitTorrentもあるようです)
投稿2019/05/30 00:10
編集2019/05/30 00:11
総合スコア1997
ありがとうございます!
ドンピシャのフィルタがありましたね…。
検索が足りてなかったですね。助かりました。
よかったです!
すみません、試してみたのですがうまくいきませんでした…。
というのも、ディスプレイフィルタではBitTorrentのパケットのみフィルタできるのですが、キャプチャフィルタでの利用ができませんでした。
(質問内容にあるとおり、「キャプチャデータを保存し続けることが非現実的なため、可能であればBitTotrentのパケットだけをフィルタしたい」ため、キャプチャフィルタを使う必要がありそうです。)
Wikiの下のほうに、Capture filterではプロトコル指定ができないので、ポートのレンジを指定してキャプチャする、というのがありますがいかがでしょうか?
tcp portrange 6881-6889 など。
データ量が現実的かどうかはちょっと分かりませんが。。。。
ありがとうございます、その記述も見ていたのですが、最近のBitTorrentクライアントはそのポートを使うとは限らないようで、うまくいきませんでした。
BitTorrentを動かしながらキャプチャしてみると6881-6889で何らかのUDPパケットは飛んでおり、恐らくBitTorrentクライアントがやりとりしているようではあります。
しかしプロトコルが特定できないUDPパケットとしてしか見えず、BitTorrentを使っていると断定まではできない状況です。
実際、他にもそのポートを使うアプリケーションはあるようです。
なるほど、こちらこそありがとうございます!
あなたの回答
tips
プレビュー
