[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[port139ml:02568] Re: monyolog送信パケットのモニタ
- To: port139ml@xxxxxxxxxxxxx
- Subject: [port139ml:02568] Re: monyolog送信パケットのモニタ
- From: Tsutomu Fujinami <tsunami@xxxxxxxx>
- Date: Mon, 03 Mar 2003 15:02:03 +0900
ふじなみです。
# はじめて投稿させていただきます。
Miharu <ensi@xxxxxxxxxxxxxxxx> wrote:
> Windows2000 Pro SP3
> ------------------------------------------------------------------------
> IEからgoogle接続時
> -----------------------------------------
> monyolog
> 2003-03-03 13:40:02: TCP [LEN= 48] [ S ] [192.168.0.116:2856 -> 216.239.33.101:80]
> 2003-03-03 13:40:02: TCP [LEN= 40] [ A ] [192.168.0.116:2856 -> 216.239.33.101:80]
> 2003-03-03 13:40:02: TCP [LEN= 44] [ S A ] [216.239.33.101:80 -> 192.168.0.116:2856]
> syunlog
> 2003-03-03 13:40:02 TCP[ S ]: 192.168.0.116:2856 -> 216.239.33.101:80 [len=48]
> 2003-03-03 13:40:02 TCP[ S A ]: 216.239.33.101:80 -> 192.168.0.116:2856 [len=46]
> 2003-03-03 13:40:02 TCP[ A ]: 192.168.0.116:2856 -> 216.239.33.101:80 [len=40]
3-way Handshakeでコネクションを確立しようするフェーズにおいてなんですけど、
monyologとsyunlogのログに、パケットの順番が違っています。
本来ならば、syunlogのログのように、
1) 192.168.0.116:2856 -> 216.239.33.101:80 SYN パケット
2) 216.239.33.101:80 -> 192.168.0.116:2856 SYN+ACK(上記のSYNに対する) パケット
3) 192.168.0.116:2856 -> 216.239.33.101:80 ACK(上記のSYN+ACKに対する) パケット
の順番にパケットが流れて、コネクションが確立します。
しかし、上記のmonyologのログでは、2)、3)のパケットの順番が入れ替わって記録
されています。
monyologで、inboundとoutboundなパケットを両方取れたとしても、
RAW SOCKETによるキャプチャでは、必ずしもパケットを順番どおりに
取れるわけでもなさそうですね。
monyologの作者のたかはしもとのぶさんの言うとおりに、
outboundのパケットのみ対象にした方がいいのではないでしょうか?
--
Tsutomu Fujinami
tsunami@xxxxxxxx