株式会社ディアイティはサイバーセキュリティとネットワークの企業

Omnipeekを使いこなそう
~Omnipeekの使い方~ (不定期連載)


第5回:フィルタの使い方 (1/2)

Omnipeekの特徴の1つにGUIを使用したフィルタ機能があります。
一般的なパケットキャプチャソフトではコマンドでのフィルタリングを行いますが、構文を熟知していないとなかなか思い通りのフィルタリングができず、お困りの方もいらっしゃると思います。

Omnipeekでは、GUIで直感的にフィルタを作成することができますので、難しいコマンドの構文を覚える必要がありません。幾つかの基本的な作成ルールと方法さえ理解してしまえば、複雑なフィルタも簡単に作ることができるようになります。

Omnipeekのフィルタ

Omnipeekでは、作成したフィルターをアイテムとして保存し、適用します。

メニューアイコンの「View Filtersのアイコン 」(View Filters)をクリックすると、デフォルトで設定されたフィルタが表示されます。こちらにあるように、フィルタのルールを作成したものに名前を付けて保存することができます。

Omnipeekのフィルタ

適用方法は、以下の2通りの方法があります。

• パケットキャプチャ時にフィルタリング
• パケットキャプチャ後にフィルタリング

パケットキャプチャ時にフィルタリングは、パケットキャプチャをしながらフィルタリングを行い、ルールに該当するパケットのみを取得、またはルールに該当するパケットを破棄する場合に使用します。
この方法を使用した場合、フィルタによって破棄されたパケットは記録されませんので、キャプチャの全体容量を抑えることができる反面、破棄されたパケットはキャプチャ後に確認することができません。

一方、パケットキャプチャ後にフィルタリングは、すべてのパケットをキャプチャした後、フィルタを使用して必要なパケットを抽出、または除外する場合に使用します。
キャプチャ時にはすべてのパケットを保存しますので、キャプチャの全体容量は大きくなりますが、除外したパケットを再表示するなどやり直しができるメリットがあります。

予め、キャプチャしたいパケットが明確である場合は、「キャプチャ時」、トラブルシューティングなどキャプチャしたいパケットが明確でない場合は、「キャプチャ後」の方法を使うなど必要に応じて使い分けることができます。

フィルタの適用方法1 (キャプチャ時のフィルタリング)

キャプチャ時にフィルタを適用する場合は、キャプチャオプションで指定します。

① Start Pageより、「New Capture」アイコンをクリックすると、キャプチャオプションの画面が表示されます。左の項目の「Filters」をクリックすると、下の図のようにフィルタの一覧が表示されます。これは、上の説明で表示したフィルタ一覧と同じものです。

フィルタの適用方法1

② 一覧からフィルタのルールにチェックをして、上部のメニューアイコンよりフィルタルールに一致したパケットの処理方法を選択します。

フィルタの適用方法1

③ フィルタルールに一致したパケットの処理方法を以下より選択します。
• Accept Matching Any
:選択したフィルタのいずれかに一致する場合に取得
• Accept Matching All
:選択したフィルタのすべてに一致する場合に取得
• Reject Matching
:選択したフィルタに一致する場合に破棄

フィルタの適用方法2 (キャプチャ後のフィルタリング)

1つのフィルタルールに一致するパケットを抽出して表示する場合

1つのフィルタルールに一致するパケットを抽出して表示する場合は、簡単な手順で行えます。
この方法でのフィルタリングは、予め一致するパケットを抽出するためのフィルタルールを作成しておき、適用する場合に便利です。

① パケットリストの上部の「View Filtersのアイコン 」(Display Filter)アイコンをクリックし、一覧からフィルタルールを選択します。
ここに表示されるフィルタルールは、上の説明で表示したフィルタ一覧と同じものです。
ここでは、例として「DNS」(プロトコルが”DNS”のパケットを抽出するルール)を選択しています。

フィルタの適用方法2

② 下の図のようにプロトコルが”DNS”のパケットのみが表示されます。

フィルタの適用方法2

なお、フィルタリングを解除して、すべてのパケットを表示し直す場合は、「All Packets」を選択します。

フィルタの適用方法2

複数のフィルタルールを使用して抽出して表示する場合

こちらの方法では、キャプチャ時のフィルタリングと同じように複数のフィルタルールの選択とルールに一致したパケットの処理方法を選択して、表示をします。

① 画面上部のメニューの「Edit」より、「Select Packets」を選択します。

フィルタの適用方法2

② 下の図のような画面が表示されます。「Matches one or more filters」を選択し、一覧からフィルタルールにチェックを入れます。ここに表示されるフィルタルールは、上の説明で表示したフィルタ一覧と同じものです。

「Select Packets」ボタンをクリックします。

フィルタの適用方法2

③ 下の図のような画面が表示され、選択したフィルタルールに一致したパケット数が表示されます。複数のルールを選択した場合、OR条件(いずれかのルールに一致する)で抽出されます。
• Hightlight Selected Packets
:抽出されたパケットを反転表示する
• Hide selected packets
:抽出されたパケットを非表示にする
• Hide unselected packets
:抽出されていないパケットを非表示にする
• Copy selected packets to new window
:抽出されたパケットを新しいウィンドウにコピーする
• Label Selected Packets
:抽出されたパケットにラベルを付ける

フィルタの適用方法2

なお、フィルタリングを解除して、すべてのパケットを表示し直す場合は、「All Packets」を選択します。(「Copy selected packets to new window」でコピーしたウィンドウのパケットには適用できません。)

フィルタの適用方法2

フィルタの基本的な作成方法

次にフィルタの基本的な作成方法を説明します。
Omnipeekのフィルタには、シンプルフィルタとアドバンスドフィルタの2種類のフィルタがあります。
シンプルフィルタは、よく使用されるフィルタ条件を簡単に入力・選択して作成するフィルタで、以下の条件から作成することができます。

• Address filter
• Application / Protocol filter
• Port filter

フィルタの基本的な作成方法

アドバンスドフィルタは、パケットのより詳細な情報を条件にしてフィルタリングするためのフィルタです。
下の図の例のように、パケットのDecodeにある値を条件として使用することができ、複数の条件をAND/ORで結んで複雑な抽出をすることができます。

フィルタの基本的な作成方法

シンプルフィルタでの作成

① Filtersの画面上部のメニューより、「Insert」ボタンをクリックします。

フィルタの適用方法2

② 最初にフィルタルールの表示の設定をします。
• Filter
:作成したフィルタの名前を入力します。
• Color
:作成したフィルタの表示色を指定します。
• Comment
:作成したフィルタの説明を入力します。

※ フィルタ名とコメントには、2バイト文字(日本語)を使用できますが、非推奨です。

フィルタの適用方法2

③ アドレスでフィルタリングをする場合は、「Address filter」にチェックを入れます。
次に、「Type」の欄でアドレスの種類を選択します。選択できる種類は以下になります。
• Ethernet Address
• Wireless Address
• WAN DLCI Address
• IP
• IPv6
• AppleTalk
• DECnet
• IPX

フィルタの適用方法2

④ アドレスを指定します。
Address 1にフィルタリングする対象のアドレスを入力します。
Address 2に特定の1つのアドレスを指定するか、Address 1と通信するすべてのアドレス(Any address)を指定します。

※ 下の図では、例としてIPアドレスで設定しています。

フィルタの適用方法2

⑤ 「Type」の下のボタンをクリックし、通信の方向を指定します。

フィルタの適用方法2

⑥ Application、またはProtocolでフィルタリングする場合は、「Application/Protocol filter」にチェックを入れます。
「Choose」ボタンをクリックします。

フィルタの適用方法2

⑦ Application Filterの画面が表示されます。一番上のプルダウンメニューより、以下の4つの方法でApplication、またはProtocolを指定することができます。

• Generic ProtoSpec
:定義済みの一覧よりProtocolを指定できます。
• Protocol
:Protocol番号で詳細な指定をできます。
• Application
:定義済みの一覧よりApplicationを指定できます。

フィルタの適用方法2

⑧ ポートでフィルタリングする場合は、「Port filter」にチェックを入れます。
次に、「Type」の欄でアドレスの種類を選択します。選択できる種類は以下になります。

• TCP-UDP
• AppleTalk
• NetWare

フィルタの適用方法2

⑨ ポートを指定します。
Port 1にフィルタリングする対象のポートを入力します。
Port 2に特定の1つのポートを指定するか、Port 1と通信するすべてのポート(Any port)を指定します。

※ 下の図では、例としてTCP-UDPで設定しています。

フィルタの適用方法2

⑩ 「Type」の下のボタンをクリックし、通信の方向を指定します。

フィルタの適用方法2

⑪ 必要な設定が完了したら、「OK」ボタンをクリックし保存します。

⑫ Filterの一覧に追加されます。

フィルタの適用方法2

アドバンスドフィルタでの作成

① Filtersの画面上部のメニューより、「Insert」ボタンをクリックします。

フィルタの適用方法2

② 最初にフィルタルールの表示の設定をします。
• Filter
:作成したフィルタの名前を入力します。
• Color
:作成したフィルタの表示色を指定します。
• Comment
:作成したフィルタの説明を入力します。

※ フィルタ名とコメントには、2バイト文字(日本語)を使用できますが、非推奨です。

フィルタの適用方法2

③ 「Type」より「Advanced」を選択します。

フィルタの適用方法2

④ 下の図のような画面に切り替わります。

フィルタの適用方法2

⑤ 「And ▶」ボタンをクリックし、フィルタの種類を選択します。
条件・パラメータの入力の画面が表示されますので設定します。(詳細な設定の説明は割愛します。)

フィルタの適用方法2

⑥ 下の図のように条件が追加されます。

※ 例としてIPアドレスの条件を追加しています。

フィルタの適用方法2

⑦ さらに条件を追加する場合は、以下の手順で行います。

追加の条件を配置する位置を決めます。
• 条件の先頭に配置する場合
:「 アイコン」を選択して右クリックします。
• 指定の条件の後ろに配置する場合
:指定の条件を選択して右クリックします。

※ 下の図では、例として指定の条件を選択しています。

AND条件で追加する場合は「And」を、OR条件で追加する場合は「Or」にマウスカーソルを合わせ、フィルタの種類を選択します。
条件・パラメータの入力の画面が表示されますので設定します。(詳細な設定の説明は割愛します。)

フィルタの適用方法2

⑧ 下の図のように条件が追加されます。

※ 例として、Applicationの条件を追加しています。

AND条件で追加した場合、下の図のように表示されます。

フィルタの適用方法2

OR条件で追加した場合、下の図のように表示されます。

フィルタの適用方法2

⑨ 設定が完了したら、「OK」ボタンをクリックし保存します。

条件設定の画面(例)

一例として、「802.11 Filter」の条件設定の画面を紹介します。
802.11 Filterでは、無線LANの様々な条件を指定してパケットをフィルタリングすることができます。
必要な条件にチェックを入れ、値を選択します。

※ すべての条件を指定すると、該当するパケットがない結果になりますので注意してください。

フィルタの適用方法2

① バンドを以下の中から選択します。
• 802.11 All Bands
• 802.11a
• 802.11b
• 802.11bg
• 802.11n

② チャネルを指定する場合はチェックを入れ、右のプルダウンメニューからチャネルを指定します。

③ データレートを指定する場合はチェックを入れ、右のプルダウンメニューからデータレートを指定します。

④ チャネルボンディングやGI、Aggregateされたパケットの指定をする場合は、「Flags」にチェックを入れ、下の指定する項目にチェックを入れます。

⑤ シグナル値を指定する場合はチェックを入れ、右のプルダウンメニューよりレベルの単位を選択(%、またはdbm)し、値の範囲を指定します。

⑥ ノイズレベルを指定する場合はチェックを入れ、右のプルダウンメニューよりレベルの単位を選択(%、またはdbm)し、値の範囲を指定します。

⑦ パケットの暗号化の状態を指定する場合はチェックを入れ、以下より選択します。

• Encrypted
:暗号化されている
• Not Encrypted
:暗号化されていない

⑧ パケットの復号結果を指定する場合はチェックを入れ、以下より選択します。

• Decryption error
:復号失敗
• Decryption success
:復号成功

⑨ BSSIDを指定する場合はチェックを入れます。
プルダウンメニューに一覧が表示される場合は、対象を選択します。表示されない場合はBSSIDを直接入力します。
Name TableにBSSIDが登録されている場合は、「▶」ボタンをクリックし一覧から選択します。

⑩ Source APを指定する場合はチェックを入れます。
プルダウンメニューに一覧が表示される場合は、対象を選択します。表示されない場合はIPアドレスを直接入力します。
Name TableにAPのIPアドレスが登録されている場合は、「▶」ボタンをクリックし一覧から選択します。

次回は、キャプチャしたデータからアドバンスドフィルタを作成する方法と、アドバンスドフィルタの便利な編集方法をご紹介します。


この製品に関するお問い合わせ

03-5634-7652電話受付時間/平日9:00-18:00
メールでのお問い合わせ

24時間受付