PACKET BLACK HOLE 「パケットブラックホール」は、ネットエージェント株式会社の開発製品です。
 
Index 概要 構成例 仕様・オプション オンラインデモ Q&A
 
PBHメール サポート・研修 パートナー NetAgent HP English page お問い合わせ
よくある質問
Q&A Index
案内・製品概要
特徴・機能・管理
簡単導入・ハブ関連
増設・バックアップ
記録・解析
再現・解読
検索・検知
サポート・認定
トラブルシューティング
その他

再現・解読
Q.6-1 データの再現や分析に、特別なソフトや機器は必要ですか?

A.6-1 Packet Black Holeはブラウザで操作を行うようになっていますので、お使いのブラウザからデータが再現できます。


Q.6-2 再現可能なプロトコルを教えてください。

A.6-2 HTTP、HTTP PROXY、SMTP、POP3、FTP、telnetは通常操作によって再現できます。MSNメッセンジャー、Yahooメッセンジャー(Q.6-2 参照)、プリントRAWデータ(概要→印刷再現参照)などは、特別な方法で再現できます。その他、平分のプロトコルであれば、ほとんどの通信内容を見ることができます。


Q.6-3 WEBメールの添付ファイルは再現できますか?

A.6-3 できます。


Q.6-4 IRCやICQは検索・再現できますか?

A.6-4 IRC(「インターネット・リレー・チャット」システム)は<TCP通信の記録>画面で「メールWeb以外の通信」AND「ポート番号」「6667」で検索してください(日本語はコードが違うため文字化けしますので、デコーダを使ってください)。
ICQ(オンラインの仲間とチャットやファイル転送を行なうことができるシステム)は<各種検索>画面の「grep」で「udp port 4000」、もしくは<攻撃検知記録>画面で「名称」部分「icq」を探してください。IPMessengerの場合は<各種検索>画面の「grep」で「udp port 2425」で閲覧してできます。


Q.6-5 FTPの再現はできますか?

A.6-5 <TCP通信の記録>画面で「ポート番号」「21」で検索して下さい。ftpコマンドがみられます。ファイルの送受信があった場合は、ファイル名をクリックすることにより該当ファイルをダウンロードできます。


Q.6-6 telnetは, どのように検索しますか?

A.6-6 <TCP通信の記録>画面で「ポート番号」「23」で検索して下さい。telnetのプロトコル解析が可能です。


Q.6-7 httpsは, どのように検索しますか?

A.6-7 <TCP通信の記録>画面で「ポート番号」「443」で検索して下さい。D->Detailで詳細が見られます。複号化はまだできません。


Q.6-8 VoIPは再現できますか?

A.6-8 オプションにより可能です。(PBH v3)


Q.6-9 グループウェアでやりとりするメールなどは再現できますか?

A.6-9 Webベースのものであれば再現可能です。それ以外のものに関しては、平文であれば文章を読む程度なら可能です。


Q.6-10 メッセンジャーの通信はどうやって再現しますか?

A.6-10 以下の方法で行ってください。
 Yahooメッセンジャーの場合:1
1)各種検索画面>grep画面より、“表示文字コード”をShift-JIsに選択し、“実行”ボタンを押します。
2)“日時”欄に検索対象の期間を設定し、“検索文字列”欄に「YMSG」と入力します。その後“最大ヒット数”を選択し、“実行”ボタンを押します。
 Yahooメッセンジャーの場合:2
1)TCP通信の記録画面より、“日時”欄に検索対象の期間を設定し、検索条件に“ポート番号”を選択し、番号に“5050”を選び“実行”ボタンを押します。
2)表示された検索情報より、“T”のリンクを押します。“TCPセッション接続”が表示されますので、表示方法を“フィルタして表示”に、文字コードを“Shift-JIS”に選択し、“実行”ボタンを押します。
 MSNメッセンジャーの場合
1)TCP通信の記録画面より、“日時”欄に検索対象の期間を設定し、検索条件に“ポート番号”を選択し、番号に“1863”を選び“実行”ボタンを押します。
2)表示された検索情報より、“T”のリンクを押します。“TCPセッション接続”が表示されますので、表示方法を“フィルタして表示”に、文字コードを“UTF-8”に選択し、“実行”ボタンを押します。
※メッセンジャーの日本語表示の弱い点に関しましてはVer.4で大幅に改善できるかと思います。


Q.6-11 PGPで暗号化されたメールは解読できますか?

A.6-11 PGPの暗号を解くには、受信者の秘密鍵とパスフレーズが必要です。まずは、受信者の秘密鍵とパスフレーズを入手する必要がありますが、秘密鍵の入手はPGPの秘密鍵キーリングをコピーするだけです。お使いの環境に秘密鍵を導入し、解読時にパスフレーズを入れれば解読できます。
※通常PGPメールの表示は,暗号化されたままです。


Q.6-12 暗号付きzipの中身を解読したい。

A.6-12 あまり複雑でなければ解読することが可能です。運用支援サービス(有償)もしくはフォレンジック・サービス(有償)で解読が可能です。詳細に関しては、弊社営業部までお問い合わせください。


Q.6-13 見たいデータだけ直接アクセスして参照したいのですが、記録したデータの形式は公開していますか?

A.6-13 公開の形式は,2通りあります。生パケットは一般的な形式のため、パケット解読ソフトを用いればアクセスできます。データベース構造は、技術者向けの公開となっています。ただし、データベースmysqlが使用できる方ならば理解できる程度のデータベースです。
※使用しているデータベースは“mysql”です。


Q.6-14 パケットの内容を解析してほしい。

A.6-14 該当画面と、該当通信部分をダウンロードして弊社サポートまでお送りください。基本的なものであれば、通常サポートでお答えすることができます。複雑なものや、.pktファイルをそのまま送っていただく場合は、運用支援サービス(有償)もしくは、解析サービス(有償)をご利用ください。弊社のコンサルタントが対応します。

文責および著作権・肖像権はネットエージェント株式会社に帰属します。本文、画像等の無断転用を禁じます。
Copyright(c) NetAgent Co.,Ltd. 2007
for More Information : info@netagent.co.jp