PACKETMON pmon.txt(英日対訳)<<訳及び作成 惣田正明(相原寛彰)>>
THE HANDY DANDY ANALOGX PACKETMON
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
ハンディでダンディなパケットモニター
Either you're a programmer, monitoring the world of packets as they streak across your network cable in an attempt to track down some elusive bug, or you're just bored and thought it might be interest to see exactly what is coming and going across your network. For the most part, the existing packet sniffers are either expensive, or difficult to install. Hopefully with AnalogX PacketMon, we've managed to eliminate at least one of those problems :) So what exactly does a packet sniffer do, you ask? Simple, it sits on your network and reads all the messages that happen to cross it's path. If you would like a more detailed description of packet sniffers and the like, check out this article:
あなたは、プログラマーであなたのネットワークケーブルを通して何か捕まえどころのないバグを探知しようとパケットが往来している世界をモニターしているか、あるいは単に暇であなたのネットワークを行き来しているものを正確に見たいのであろうと思われます。ほとんどの場合、現在存在するパケット・スニッファーは、値段が高かったりインストールが難しかったりします。幸運なことに、AnalogX PacketMonを使えば、これらの問題の少なくとも一つはなくすことができるでしょう。それでは、パケット・スニッファーは、正確には何をすることができるのか、とあなたは尋ねるでしょう。簡単です。それはネットワークに居座ってそのパスを通るメッセージをすべて読んでくれるのです。もし、あなたがより詳細なパケット・スニッファーの説明が欲しいのであれば、以下の記事をチェックしてください。
http://www.grc.com/oo/packetsniff.htm
Operation is pretty straight forward, and on most systems it should work right out of the box - click Start and voila - it's capturing packets. It's important to note that PacketMon *REQUIRES* a system that has raw socket support, such as Windows 2000 or Windows XP (no, Windows 95, Windows 98, etc DO NOT have raw socket support).
操作はかなり簡単です。ほとんどのシステムでは、ボックスですぐに動くでしょう。--すなわち Startをクリックするだけです。--パケットを調べ始めます。PacketMonは、Windows 2000 や Windows XPのような (Windows 95, Windows 98, などは raw socketをサポートしていません。) raw socketをサポートしているシステムを*要求*します。
:::Configuration:::
Here's a brief overview of all the configuration options. 'Always on top' ensures that the dialog will always be the topmost dialog, while 'Minimize to Tray' will cause the application to become a little icon on the system tray instead of a box on they task bar like most programs. 'AutoNew on Start' tells PacketMon to reset the packet list before starting a new capture session.
'Packet Recycling' and 'Packet Limit' are both covered in more detail in the 'Managing memory' section of this document. 'Network Interface' specifies which physical interface on the computer that the packet monitor will be listening to; normally this should be whatever IP is your Internet IP. 'Stream to file' lets you specify a file to stream packet contents to, and is covered in greater detail in the 'Exporting data' section. 'Resolve IP to name' causes the program to resolve as many IP addresses as it can, once packet monitoring is stopped. All resolved IP and machine names are cached to the duration of the session, but will be resolved again once the program is run.
:::設定:::
これは、すべてのオプション設定の簡単な説明です。「Always on top」は、ダイアログが常に一番上に来るようにします。また「Minimize to Tray」は、ほとんどのプログラムのようにタスクバーにボックスがでる代わりにシステムトレイに小さなアイコンがでるようにします。「AutoNew on Start」は、新しいキャプチャーセッションが始まる前にパケットリストをリセットするようにします。「Packet Recycling」と「Packet Limit」はともに、この文書の「Managing memory」のセクションでより詳しく述べられています。「Network Interface」は、パケットモニターが解析しているコンピュータの物理的なインターフェイスを指定します。普通には、これはあなたのインターネットIPがどんなIPであっても行います。「Stream to file」は、パケットの内容を流すファイルを指定します。また、より詳しくは「Exporting data」セクションに書かれています。「Resolve IP to name」は、一度パケットモニタリングが停止しすると、プログラムにできる限り多くのIPアドレスを解析させます。解析されたIPとホスト名はすべてそのセッションの期間キャッシュされますが、プログラムが動き始めると再び解析されるでしょう。
:::Managing memory:::
Depending on the amount of traffic moving across your network, the memory PacketMon could require could be enormous - imagine if you monitored a 400 meg file being transferred, it would require well over 400 megs of ram to hold that whole session in memory. Due to this sort of limitation, there are really three different capture modes PacketMon can run in. The first mode is the normal mode - it will capture every packet until you stop it, and as mentioned above can use quite a bit of memory depending on what's going on. The second mode is using a packet limit (set in the configuration), with a limit turned on the sniffer will only capture that number of packets and then stop - so if you set it to 100, only the first 100 packets are captured. The final mode is recycle mode, and is basically a variation of the limit mode. When a limit is set, and recycle is turned on, the sniffer will start to re-use packets (oldest first), thus still capturing new packets while keeping a constant memory usage. This mode is more for people who are interested in monitoring a LARGE amount of information and are using it in conjunction with the stream to file option. For most people, the normal mode will be fine though.
:::メモリーの管理:::
ネットワークを動いているトラフィック量によって、PacketMonが必要とするメモリーは巨大になることがあります。--もし、400メガのファイルが転送されているのをモニターすることを想像してみてください。それは、すべてのセッションをメモリーに保持するのには400メガを十分超えるメモリー(ram)が必要となるでしょう。この種の限界から、事実、PacketMonが動作する三つの異なるキャプチャ・モードがあります。先ず第一は、ノーマルモード--これは、あなたが止めるまであらゆるパケットをキャプチャします。また、上で述べたように動作していることに応じてかなりのメモリーを使うことになります。第二のモードは、パケット制限を使用します(configurationで設定)。スニッファーで制限をして、その数だけのパケットをキャプチャします。--それで、もしパケット数を100に設定すれば、最初の100パケットだけがキャプチャされます。最後のモードは、リサイクルモードで、基本的には制限モードの一つです。制限が設定されて、リサイクルがオンにされると、スニッファーはパケット(最初の最も古いもの)を再利用し始めます。こうして、新しいパケットをキャプチャしながら絶えず(一定に)メモリーを保っています。このモードは、大量の情報をモニターするのに関心のある人にとっては有効で、ファイル・オプションでの出力と繋いで使用します。ノーマル・モードでもうまくいくでしょう。
:::Interpreting the results:::
Once you've captured some data, you have several options to help you interpret what you've received. The main dialog contains all of the most common information, such as the source IP address, destination IP address, protocol, etc. To get a more detailed view of the specific packet, simply double-click on the line, and the detailed view will be opened. It's important to note that there is no limit to how many detailed views that can be opened, which makes it
very easy to follow multiple connections, etc.
:::結果の分析:::
何らかのデータをキャプチャしたなら、その結果を分析するのに役立ついくつかのオプションがあります。main dialogには、最も一般的な情報のすべてが含まれています。元(自分)のIPアドレス、相手のIPアドレス、プロトコルなど。特定のパケットのより詳細な情報を得たいなら、そのラインをダブルクリックするだけです。そうすれば、詳細な情報が得られるでしょう。いくつの詳細情報が得られるのかという制限はないことを知っておくことは重要です。それは、多くの接続を追跡することなどをとても簡単にするでしょう。
Most of the detailed views functions are pretty self explanatory; the top portion of the dialog represents the decoded IP packet header while the bottom portion contains the actual contents of the packet. These contents are normally displayed as hex with the characters mapped on the right side, but for easier reading you can choose to display the entire contents as just straight text (this is particularly handy when viewing HTTP/web traffic, etc). You may also choose to display the raw packet header, if you would like to see what additional information is stored in there.
詳細情報機能のほとんどは、それだけでかなり説明してくれます。ダイアログの上の部分は、デコードされたIPパケット・ヘッダであり、下の部分はパケットの実際の内容を含んでいます。これらの内容は、普通、右側にマップされた文字のある16進法で示されますが、より簡単に読むためには、すべての内容を単なるストレートテキストとして示すよう選ぶことができます(これは、特にHTTP/webトラフィックを見るときに便利です)。また、
そこに何か付加的な情報を見たいなら、ローパケットヘッダ(raw packet header)を示すよう選択することもできます。
The next and prev buttons allow you to move forward and backward to the adjacent packets. If you also have the 'Trace' option enabled, it will only step forward to packets which share the same source and destination IP's and ports, to help you view a specific connection.
next と prevのボタンは、表示されている前後のパケットの表示へと移るためのものです。もし、「Trace」オプションを enabled(有効)にしてあれば、特定の接続を見るのに役立つように同じ元のIPと相手先のIPやポートを共有するパケットだけが進んでいくでしょう。
:::Rules are rules:::
One of the more powerful functions in PacketMon is its ability to apply a very flexible ruleset to any incoming packet. The rules section has one overall policy when dealing with packets - either it rejects all packets unless it matches a rule, or it accepts all packets unless it matches a rule. Make sure you understand the distinction between those before continuing - if you don't, rules are not going to do what you want. Multiple rules can exist within any number of groups, but right now groups don't have any real meaning, this does not mean that they won't in the future though, so keep that in mind. Each rule is made up of three parts, the description, the field that it tests against, and the operation it performs as the test. For example, let's say you want to create a filter which will only show packets going from you to webservers on the internet. Here's what you do:
:::規則は規則:::
PacketMonのより強力な機能の一つは、やって来るいかなるパケットにも極めて柔軟に規則設定が適用できる能力にあります。rules(規則)セクションは、パケットを扱う全体的なポリシーをもっています。--それは、規則に一致しなければあらゆるパケットを拒絶するか、それが規則に合致しなくてもすべてのパケットを受け入れるかです。続ける前に、この違いを明確に理解してください。--そうでないと、規則はあなたが望んでいることをしてくれないでしょう。どのグループにも多くの規則が存在し得ますが、今は、グループにはなんら現実的な意味はありません。このことは、将来もそうであるという意味ではないことを、心に留めておいてください。それぞれの規則は、三つの部分、記述(description)、テストするフィールド(field)、テストとして実行する操作(operation)、からできています。例えば、インターネット上であなたの所からウェブサーヴァへ出るパケットだけを示すようフィルターを作りたいときなど。ここでは、あなたがしなければならないことを書きます。
1. Set overall to "Capture only packets that match...". This automatically
rejects everything except things we explicitly request
2. Create a new group and change it's description to "Web traffic"
3. Create a new rule and change it's description to "Outgoing traffic"
4. Select the field "Protocol Header Dest Port"
5. Select the "Numeric" test
6. Select the operation "=="
7. Enter in 80 in the field next to the operation.
1. overallを「Capture only packets that match...」に設定します。これで、自動的に
私たちが明らかに要求するもの以外はすべて拒絶します。
2. 新しいグループを作って、その description を「Web traffic」に変更してください。
3. 新しい規則を作成して、その description を「Outgoing traffic」に変更していください。
4. 「Protocol Header Dest Port」のフィールドを選んでください。
5. 「Numeric」 testを選んでください。
6. operation 「==」を選んでください。
7. operationの隣にあるフィールドに 80 を入力してください。
That's it - click Ok, start up the packet monitor, refresh a webpage and you should see all the packets that you are sending to the webserver. Now, keep in mind that this does NOT include the packets the webserver is sending BACK to you... You get to figure out how to do that, but don't worry, it's easier than it sounds! :)
それでできあがりです。Okをクリックしてパケット・モニターをスタートさせてウェブページを再読込してください。そうすれば、あなたの所からウェブサーヴァへ送られているすべてのパケットが見えるでしょう。さて、これは、ウェブサーヴァがあなたのところへ送り返しているパケットは含まれないことを覚えておいて下さい。それをする方法を見出す必要がありますが、心配しないで、思っているより簡単です。
Data entered into any of the tests is pretty simple, numeric tests only allow numeric values, the string test only wants string values, and the binary test wants thing in hex. Oh, I guess that isn't quite as simple, but here's how the hex input works; each hex value is made up of two characters, 0-9 and A-F for a total of 16 values. So the character 'm' is ASCII value 109, which is 6D in hex - don't worry if you don't get it, this is really more for hard core network people or programmers. The hex values entered into the binary test can either be one right after the other, such as "01557DB4" or with spaces between each value, such as "01 55 7D B4", whichever appeals more to you.
どのテストでも入力されたデータはかなり簡単です。ニュメリックテストは数値だけを認めますし、ストリングテストは記号列だけを要求し、バイナリーテストは16進法でだけを求めます。あらら、それはそれほど簡単ではありませんか。でも、16進法の入力をどうするかはここに書いておきましょう。それぞれの16進法の値は、二つの文字、総計16となる 0-9とA-Fでできています。それで、'm'という文字はASCIIコードでは 109で、16進法では 6Dです。--それができなくでも心配しないで。これは、実は、専門的なネットワーク従事者やプログラマーにとってより必要なことです。バイナリーテストに入力された16進数は、どちらがあなたにアピールするかはともかく、"01557DB4"のように続けて書かれるか"01 55 7D B4"のようにそれぞれの間にスペースをいれるかいずれかです。
:::Rules part 2: there's always a special case:::
As with everything in life, there's a couple hidden special cases. These all apply to the binary test, and they are really meant to just make life just a tad easier. Say you would like to use an IP address in a test, you can instruct the binary test to convert it and perform the test. To do this, instead of entering hex, you would enter this (assuming the IP is 10.0.0.1):
:::規則 パート 2: 常に特別な場合がある:::
人生すべてにおいてと同じように、二つの隠された特別な場合があります。これらすべてはバイナリーテストに適用されます。そして、それらは本当は、ただ人生を少し容易にするだけのことです。ほら、テストで IPアドレスを使いたいとしますと、あなたはバイナリーテストにそれを変換してテストを実行するよう教えることができます。これをするには、16進数を入力する代わりに、次のように入力するでしょう。(IPが 10.0.0.1でると仮定します。)
ip:10.0.0.1
and the binary test will do the rest. You can also specify wildcard ranges like this:
そうすれば、バイナリーテストが残りのことをしてくれます。あなたは次のようなワイルドカードで範囲を指定することもできます。
ip:10.0.0.*
and it will match anything for the last range, so in other words 10.0.0.0 to 10.0.0.255. Now say you want to watch for a specific range of IP's, you can do that as well like this:
それは、最後の範囲、言い換えると 10.0.0.0 から 10.0.0.255 までの範囲のどれとも合致するでしょう。さて、IPの特定の範囲を監視したいのなら、同じく次のようにしてそれをすることができるでしょう。
ip:10.0.0.55-10.0.0.100
and it will match anything between those two.
そうすれば、この二つの範囲の間のどの数字とも一致するでしょう。
It's also possible to have PacketMon do the work of resolving an IP address for testing by typing the following:
また、次のように入力することで、テストする IPアドレスを解析する仕事を PacketMonにさせることもできます。
dns:www.analogx.com
and it will use the IP address of www.analogx.com in it's test... Pretty cool, eh?
テストでは、www.analogx.comの IPアドレスを使うでしょう。かなりクールでしょう?
:::Exporting data:::
There are two ways in which you can export information from PacketMon once its been captured. The first and probably the most common is just the 'Save As' function from the File menu. Just select the output file, and all of the active packets will be stored in a comma-delimited file which can easily be imported into a variety of programs (such as access, SQL, whatever). The other option is selected from the configuration menu and is called 'Stream
to file'. With stream to file, all packets that are displayed will be stored to the file specified. It is particularly useful if you wish to monitor a particular connection or would like more historical information. It's important to note that each packet is not written to the file when it's received, but rather it's stored into an internal buffer first, and then once that is full it's flushed to the file.
:::データをエクスポートする:::
情報が得られたなら、PacketMonから情報をエクスポートする方法が二つあります。最初の方法は、恐らく最も一般的な方法だと思いますが、File menuの 'Save As'機能を使うことです。アウトプットするファイルを選ぶだけで、アクティヴなすべてのパケットがコンマで区切られたファイルの中に蓄積されるでしょう。それは、簡単に様々なプログラム(例えば、accessやSQL、その他どんなものでも)にインポートすることができます。もう一つのオプションは、configurationメニューから選ぶことができますが、'Stream to file'というものです。'Stream to file'を使うと、表示されているパケットは、特定のファイルに蓄えられます。あなたが特定の接続をモニターしたい時やより継続的な情報を得たい時に、特に有効でしょう。それぞれのパケットはそれを受け取った時にファイルに書かれるのではないことに注意することが重要です。それは、先ず、内部バッファに蓄えられ、それからそれが一杯になるとファイルに書き出すのです。
:::Conclusion:::
For more info, more programs, more music, more this and that, blah blah blah... Just go to the website, chances are there's SOMETHING interesting there:
:::結論:::
さらに情報、プログラム、音楽、あれやこれや、など、など、など・・・が欲しければ、次のウェッブサイトを訪れてください。そこには、何か面白い何かが有るかも知れません。
http://www.analogx.com/
|