Remote Packet Capture Protocol サービスを使う

Murachi Akira aka hebikuzure

This work is licensed under a Creative Commons Attribution-NonCommercial-NoDerivatives 4.0 International License.

About me 村地　彰 aka hebikuzure http://www.murachi.net/ http://www.hebikuzure.com/ https://hebikuzure.wordpress.com/ Microsoft MVP (Internet Explorer) Apr. 2011 ～

2015/8/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #312

Remote Packet Capture Protocol サービス

2015/8/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #313

WinPcap のインストールで同時にインストールされるWindows サービス

WinPcap でキャプチャしたパケット データをネットワーク上に転送するサービス 詳細情報はこちら

https://www.winpcap.org/docs/docs_40_2/html/group__remote.html

ちなみに WinPcap の歴史

2015/8/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #314

オリジナルトリノ工科大学（ Politecnico di Torino ）で開発 商用版開発者によって設立された CACE Technologies から提供 現在

CACE Technologies が Riverbed Technology に買収されたので、 Riverbed Technology が提供元 Riverbed Technology は Wireshark Foundation のスポンサーでもある 日本法人あり

http://jp.riverbed.com/contact/

RPCAP Protocol サービス

2015/8/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #315

ドキュメントは古いが、ソフトウェアは更新済み

RPCAP の動作モード

2015/8/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #316

Passive Mode （既定） RPCAP は指定したポートで待ち受け キャプチャするクライアントがネットワーク経由で接続 クライアントからのコマンドでキャプチャと転送 Wireshark はこのモードで利用可能

Active Mode RPCAP 起動時に指定したクライアントに接続 クライアントが待ち受けている必要あり クライアントからのコマンドでキャプチャと転送 サポートするクライアントが実質無い（？）

RPCAP の起動（ GUI ）

2015/8/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #317

[ サービス ] の管理コンソール（ services.msc ）で “ Remote Packet Capture Protocol v.0 (experimental)” を開く

[ 開始 ] をクリック

RPCAP の起動（コマンド）

2015/8/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #318

管理者コマンドプロンプトを起動 sc start rpcapd

RPCAPD の停止

2015/8/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #319

[ サービス ] の管理コンソール（ services.msc ）で “ Remote Packet Capture Protocol v.0 (experimental)” を開き [ 停止 ] をクリック

管理者コマンドプロンプトでsc stop rpcapdを実行

サービスの構成

2015/8/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #3110

レジストリHKLM\SYSTEM\CurrentControlSet\services\rpcapd

ImagePath 値（ REG_EXPAND_SZ ） 起動コマンドラインを指定 環境変数（ %ProgramFiles(x86)% ）が利用可能

Start 値 スタートアップの種類

Start 値

2015/8/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #3111

データ 定義 動作0 SERVICE_BOOT_START ブート（ドライバー）1 SERVICE_SYSTEM_START 起動（ドライバー）2 SERVICE_AUTO_START 自動（サービス）3 SERVICE_DEMAND_START 手動（サービス）4 SERVICE_DISABLED 無効

既定の設定

2015/8/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #3112

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\rpcapd]“Type”=dword:00000010“Start”=dword:00000003“ErrorControl”=dword:00000001“ImagePath”=hex(2):22,00,25,00,50,00,72,00,6f,00,67,00,72,00,61,00,6d,00,46,00,\ 69,00,6c,00,65,00,73,00,28,00,78,00,38,00,36,00,29,00,25,00,5c,00,57,00,69,\ 00,6e,00,50,00,63,00,61,00,70,00,5c,00,72,00,70,00,63,00,61,00,70,00,64,00,\ 2e,00,65,00,78,00,65,00,22,00,20,00,2d,00,64,00,20,00,2d,00,66,00,20,00,22,\ 00,25,00,50,00,72,00,6f,00,67,00,72,00,61,00,6d,00,46,00,69,00,6c,00,65,00,\ 73,00,28,00,78,00,38,00,36,00,29,00,25,00,5c,00,57,00,69,00,6e,00,50,00,63,\ 00,61,00,70,00,5c,00,72,00,70,00,63,00,61,00,70,00,64,00,2e,00,69,00,6e,00,\ 69,00,22,00,00,00“DisplayName”=“Remote Packet Capture Protocol v.0 (experimental)”“WOW64”=dword:00000001“ObjectName”=“LocalSystem”"Description"="Allows to capture traffic on this machine from a remote machine."

ちなみに

2015/8/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #3113

Type 値 0x1 （ 1 ） デバイス ドライバー 0x2 （ 2 ） カーネル モードのファイル システム ドライバ 0x10 （ 16 ） サービス（オウン プロセス） 0x20 （ 32 ） サービス（共有プロセス）

RPCAP の起動オプション

2015/8/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #3114

rpcapd [-b <address>] [-p <port>] [-6] | [-4][-l <host_list>] [-a <host,port>] [-n] [-v] [-d] [-s <file>] [-f <file>]

-b <address>

2015/8/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #3115

RPCAP がバインドされる IP アドレス 既定値はすべての IPv4 アドレスと IPv6 アドレス

-p <port>

2015/8/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #3116

RPCAP がバインドされるポート番号 既定は 2002

[-6] | [-4]

2015/8/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #3117

IPv6 アドレスのみバインド | IPv4 アドレスのみバインド 既定値はすべての IPv4 アドレスと IPv6 アドレス

-l <host_list_file>

2015/8/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #3118

RPCAP の接続を許可するホストのリスト 1 行に 1 つのホスト名を記述したテキスト ファイルを指定 IP アドレスでも DNS 名でも可（推奨はホスト名）

-n

2015/8/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #3119

匿名アクセスを許可 -l オプションで接続可能ホストを指定している場合のみの設定が推奨される 既定は匿名アクセス無効（実行ホストで認証できるユーザー名とパスワードが必要）

-a <host, port>

2015/8/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #3120

アクティブ モードで起動し、host, portに接続を開始する

このモードで起動した場合も、パッシブ モードでの接続は可能

-v

2015/8/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #3121

アクティブ モードのみの動作を強制する - a オプションが指定されている場合でも、パッシブ モードでの接続は不可

-d

2015/8/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #3122

RPCAP をバックグラウンドでサービスとして実行 WinPcap をインストールしたときに登録される

RPCAP の既定値

-s <file>

2015/8/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #3123

現在の RPCAP の設定を file に保存

-f <file>

2015/8/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #3124

file から設定をロード ファイルから読み込んだ設定が優先され、他のスイッチは無視される

-h

2015/8/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #3125

ヘルプの表示

アクティブ モード

2015/8/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #3126

サポートしている（アクティブ モードのクライアントとして動作する）キャプチャ ツールはhttp://netgroup.polito.it/toolsの “ Analyzer” しか紹介されていない

“Analyzer” は開発停止の模様 こちらから入手は可能

http://ftp.tuwien.ac.at/.vhost/analyzer.polito.it/30alpha/

リモート マシンでのキャプチャー開始

2015/8/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #3127

file://filename ローカル ファイルのオープンrpcap://host.foo.bar/adaptername 既定のポートでリモート アダプターのオー

プンrpcap://host.foo.bar:1234/adaptername

ポート番号を指定してリモート アダプターのオープン

rpcap://10.11.12.13/adaptername 既定のポートでリモート アダプターのオープン

rpcap://10.11.12.13:1234/adaptername

ポート番号を指定してリモート アダプターのオープン

rpcap://[10.11.12.13]:1234/adaptername

ポート番号を指定してリモート アダプターのオープン

rpcap://[1:2:3::4]/adaptername 既定のポートでリモート アダプターのオープン（ IPv6 ）

rpcap://[1:2:3::4]:1234/adaptername ポート番号を指定してリモート アダプターのオープン（ IPv6 ）

rpcap://adaptername RPCAP プロトコルを使用せずローカル　アダプターをオープン

Windows インストールの既定の起動オプション

2015/8/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #3128

%ProgramFiles(x86)%\WinPcap\rpcapd.exe” -d -f “%ProgramFiles(x86)%\WinPcap\rpcapd.ini

RPCAP をサービスとしてバックグラウンドで実行 同じディレクトリの rpcapd.ini から設定を読み込み

既定の rpcapd.ini

2015/8/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #3129

既定では rpcapd.ini は存在していない サンプル rpcapd.ini.org

# Configuration file help.

# Hosts which are allowed to connect to this server (passive mode)# Format: PassiveClient = <name or address>

# Hosts to which this server is trying to connect to (active mode)# Format: ActiveClient = <name or address>, <port | DEFAULT>

# Permit NULL authentication: YES or NOTNullAuthPermit = NO

リモート キャプチャ ツールの実例

2015/8/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #3130

RPCAP によるリモートパケットモニターhttp://codezine.jp/article/detail/219 実行ファイル

http://codezine.jp/article/download/324 ダウンロード ソースファイル

http://codezine.jp/article/download/325 Analyzer

http://ftp.tuwien.ac.at/.vhost/analyzer.polito.it/30alpha/download.htm Active モードに対応したパケット キャプチャ / アナライズ ツール 開発終了してるので、古い

DEMO

2015/8/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #3131