パケットキャプチャ

arpのパケット解析の続き。今日はこれしかやっていない。

対話時間うんぬんはよくわからないのでとりあえず後回しにした。今日は、宛先ホスト・送信元ホストの一覧を出力した(作業的には昨日よりはるかに簡単)。わかったことは以下。

  1. 宛先には同じサブネットのものと違うサブネットのものが存在する。
  2. 宛先ホストの一覧から、このドメイン内で接続されているはずのホストの範囲(arpの対象となっている範囲)。解釈はまだ。

 1について。同じサブネットのものは現状のarpの理解と一致しているのでわかりやすい。違うサブネットからのarpパケットには、プライベートアドレスとグローバルアドレスからのものが観測されていた。プライベートアドレスは理解できる。これは、研究室内のLAN(WiFi)にアクセスしたものを観測したのだろう。となるとこのパケットをキャプチャしたのはWiFiを管理しているサーバーか?あとでネットワークの構成図を見てみよう。グローバルアドレスからの接続はよくわからない。思いつく仮説は、パケットキャプチャしたノードが外部との境界に設置されたノードであったことくらいか。この仮説は、グローバルアドレスとパケットをやり取りしているホストをみればすぐわかるはず。次回に。

 2について、これは興味深かったが、興味深いだけ。次回の解析の際に予備知識としてもっておくと少し便利なくらいか。存在しないホストに対するarpのリクエストはどのくらいの頻度でおこるのか、またなぜおこるのかとか考察できるかもしれない。なぜについてはブロードキャストで送られたからでほとんど間違いないだろうが(これが正しいとするとブロードキャストのパケットは結局各ノードを宛先にしたパケットがサブネット内のノードの数だけ作成されるということになる。昨日の疑問は解決。新たな疑問:ブロードキャストのパケットを作成しているのは誰か?)。また、「宛先になっているが送信元になっていない」=「存在しない」が真かどうかもよく考える(調べる)必要がある。これについて、「存在しないと考えられる」ノードへのリクエストの回数を調べてみるとおもしろそう。

 

追記:ブロードキャストの宛先アドレスは実際のdestination nodeとなるのはわかったが、なんでWiresharkはそのパケットがBroadcastだとわかったのだろうか。