BSD界隈四方山話
第88回 DTraceの使い方 その8
ネットワーク2
DTraceを使うとネットワーク通信に関するデータを簡単にモニタリングしたり集計して表示させることができます。コマンドを使っても似たようなデータは得られますが,
まず簡単なサンプルから見てみましょう。次のDTraceスクリプトはtcp:::accept-establishedをモニタリングして,
リスト tcpaccept.
#!/usr/sbin/dtrace -s
#pragma D option quiet
dtrace:::BEGIN
{
printf("Tracing... Hit Ctrl-C to end.\n");
}
tcp:::accept-established
{
@num[args[2]->ip_saddr, args[4]->tcp_dport] = count();
}
dtrace:::END
{
printf(" %-26s %-8s %8s\n", "HOST", "PORT", "COUNT");
printa(" %-26s %-8d %@8d\n", @num);
}
実行すると次のような結果が得られます。ファイアウォールやinetdを使って似たようなデータを取得することもできますが,
図 tcpaccept.
# ./tcpaccept.d Tracing... Hit Ctrl-C to end. ^C HOST PORT COUNT 192.168.1.101 22 1 192.168.1.39 22 1 192.168.1.101 2049 2 #
似たようスクリプトで対象をtcp:::accept-establishedではなくtcp:::connect-establishedを使っても似たようなデータを取得できます
リスト tcpconnect.
#!/usr/sbin/dtrace -s
#pragma D option quiet
dtrace:::BEGIN
{
printf("Tracing... Hit Ctrl-C to end.\n");
}
tcp:::connect-established
{
@num[args[2]->ip_daddr, args[4]->tcp_dport] = count();
}
dtrace:::END
{
printf(" %-26s %-8s %8s\n", "HOST", "PORT", "COUNT");
printa(" %-26s %-8d %@8d\n", @num);
}
図 tcpconnect.
# ./tcpconnect.d Tracing... Hit Ctrl-C to end. ^C HOST PORT COUNT 192.168.1.10 57507 1 #
tcp:::sendとtcp:::receiveをモニタリングして送信元IP,
リスト tcpio.
#!/usr/sbin/dtrace -s
#pragma D option quiet
#pragma D option switchrate=10hz
dtrace:::BEGIN
{
printf("%-3s %15s:%-5s %15s:%-5s %6s %s\n", "CPU",
"LADDR", "LPORT", "RADDR", "RPORT", "BYTES", "FLAGS");
}
tcp:::send
{
this->length = args[2]->ip_plength - args[4]->tcp_offset;
printf("%-3d %15s:%-5d -> %15s:%-5d %6d (", cpu,
args[2]->ip_saddr, args[4]->tcp_sport,
args[2]->ip_daddr, args[4]->tcp_dport, this->length);
}
tcp:::receive
{
this->length = args[2]->ip_plength - args[4]->tcp_offset;
printf("%-3d %15s:%-5d <- %15s:%-5d %6d (", cpu,
args[2]->ip_daddr, args[4]->tcp_dport,
args[2]->ip_saddr, args[4]->tcp_sport, this->length);
}
tcp:::send,
tcp:::receive
{
printf("%s", args[4]->tcp_flags & TH_FIN ? "FIN|" : "");
printf("%s", args[4]->tcp_flags & TH_SYN ? "SYN|" : "");
printf("%s", args[4]->tcp_flags & TH_RST ? "RST|" : "");
printf("%s", args[4]->tcp_flags & TH_PUSH ? "PUSH|" : "");
printf("%s", args[4]->tcp_flags & TH_ACK ? "ACK|" : "");
printf("%s", args[4]->tcp_flags & TH_URG ? "URG|" : "");
printf("%s", args[4]->tcp_flags & TH_ECE ? "ECE|" : "");
printf("%s", args[4]->tcp_flags & TH_CWR ? "CWR|" : "");
printf("%s", args[4]->tcp_flags == 0 ? "null " : "");
printf("\b)\n");
}
実行すると次のような感じです。
図 tcpio.
# ./tcpio.d CPU LADDR:LPORT RADDR:RPORT BYTES FLAGS 0 192.168.185.50:80 <- 192.168.185.1:60622 30 (FIN|ACK) 0 192.168.185.50:80 -> 192.168.185.1:60622 30 (ACK) 0 192.168.185.50:80 -> 192.168.185.1:60622 30 (FIN|ACK) 0 192.168.185.50:80 <- 192.168.185.1:60622 30 (ACK) 0 192.168.185.50:22 <- 192.168.185.1:52416 82 (PUSH|ACK) 0 192.168.185.50:22 -> 192.168.185.1:52416 58 (PUSH|ACK) 0 192.168.185.50:22 <- 192.168.185.1:52416 30 (ACK) 0 192.168.185.50:80 <- 192.168.185.1:60621 575 (PUSH|ACK) 0 192.168.185.50:80 -> 192.168.185.1:60621 210 (PUSH|ACK) 0 192.168.185.50:80 <- 192.168.185.1:60621 30 (ACK) ^C #
特定の通信に絞り込めばTCPハンドシェークがどのように進むのかの概要も見ることができます。ネットワーク通信の中身を感じ取る方法としてはなかなか手軽で公開的な方法ではないかと思います。
※ ここに掲載したサンプルスクリプトは"DTrace Dynamic Tracing In Oracle Solaris, Mac OS X & FreeBSD", by Brendan Gregg and Jim Mauro P.
勉強会
第61回 3月23日
2017年3月9~12日まで東京でAsiaBSDCon 2017が開催される予定です。ぜひこのカンファレンスにご参加いただきたいわけなのですが,
3月のFreeBSD勉強会では,
FreeBSD勉強会 発表者募集
FreeBSD勉強会では発表者を募集しています。FreeBSDに関して発表を行いたい場合,
著者プロフィール
後藤大地(ごとうだいち)
BSDコンサルティング株式会社取締役,オングス代表取締役。FreeBSD committer。MYCOMジャーナルにおけるニュース執筆他,『改訂第二版 FreeBSDビギナーズバイブル』,『D言語パーフェクトガイド』,『UNIX本格マスター 基礎編~Linux&FreeBSDを使いこなすための第一歩~』など著書多数.
Twitter:@daichigoto
著書
バックナンバー
BSD界隈四方山話
- 第115回 blacklistd(8)を使ってsshd DoS攻撃を防止する方法 ipf編
- 第114回 blacklistd(8)を使ってsshd DoS攻撃を防止する方法 pf編
- 第113回 blacklistd(8)を使ってsshd DoS攻撃を防止する方法
- 第112回 OpenBSDに新しいセキュリティ機能「RETGUARD」
- 第111回 BSDカーネル脆弱性調査
- 第110回 FreeBSD 11.1-RELEASE登場
- 第109回 Heimdal Kerberos実装にセキュリティ脆弱性
- 第108回 OpenBSD,KARLセキュリティ機能を開発
- 第107回 FreeBSD 11.1-RC1登場
- 第106回 BSDライセンスのdtcへ差し戻し
関連記事
- 2014年4月18日 2014年第一四半期SR:FreeBSDベースのストレージOS「ZFSguru」,Jenkins for FreeBSD
- 2014年4月8日 pfSense 2.1.1登場,セキュリティ脆弱性対応とドライバアップデート
- 2014年4月4日 The Design and Implementation of the FreeBSD Operating System(2ndエディション)
- 2014年3月5日 FreeBSD勉強会 IN 大阪 Vol.3,FreeBSD 10.0-RELEASE 新機能紹介と変更点解説]
- 2014年3月3日 第26回FreeBSD勉強会,pfSenseの発表プレゼンテーション資料を公開