Just another Windows perl site

Wiresharkでwindows10の外部(OUT)送信パケットを解析してみた

2018/07/01
 
この記事を書いている人 - WRITER -
*会社職務経歴  ・本店・安全・品質部長(2年)  ・ラインマン(送電線建設・保守)(30年)  ・情報システム(3年)

Wiresharkでwindows10の外部(OUT)送信パケットを解析してみた

スポンサードリンク

最近はPC・スマホに入力した情報等が外部に送信されているのは、当たり前になっている?

そう思ったきっかけは、windows10 が勝手に夜中にアクセスしているからだ。

気になったので、ネットワーク負荷監視ツール「MRTG(by perl)」を入れて、夜中のアクセスを監視してみた。

ネットの情報は、IN(入ってくる)とOUT(出ていく)2つの方向が有る。

IN(入ってくる)は、自分で操作するネットアクセスか更新プログラム位なのはわかる。

ところが、OUT(出ていく)が時々、INと同じくらいあるときがある。

どうも、情報を抜き出されているようで、気味が悪いので、調べてみた

<mrtg 画像>

パケット監視ツールは何か

どうも、パケット監視ツールは「WireShark」が一般的?なようだ。
前にも使ったことがあったので、「WireShark」を使うことにした。
「WireShark」 のバージョンは「2.6.1」です。

WireSharkのインストールと操作


Wiresharkを使った通信監視(前編)――基本的な使い方とパケット解析

と(後編)を参考に、行った。

主に使う機能は、パケットしたデータの保存と、その時の「IPのアドレス名」を取得することだ。

取得したデータは「エクセルのピボット」を使って、データを集計した。

1)パケットしたデータの保存の仕方
「ファイル」->「パケット解析をエクスポート」->「CSVとして」で保存した。


2)その時の「IPのアドレス名」の取得。
「統計」->「解決したアドレス」で表示されたデータをコピーして、テキストファイルで保存した。

OUTパケットの捕捉

・OUTパケットを捕捉するのは大変だ!

OUTのアクセス発生原因と時間は今のところ、不明。
そこで、OUTパケットを捕捉する方法を考えた。

・mrtgのログは5分おきに書き出す。
・OUTのアクセスは10分以上続いている時が多い。
” ・そこで、5分おきの mrtgのログを見て、[OUTが10,000 byte 以上]の時に、”
wiresharkに同封されている「tshark.exe」を使い、5分間データ収集した。

・プログラム(スクリプト)は、例によって「perl」で書いた。。

” ・しかし、mrtg のログが[OUTが10,000 byte 以上]の時は余り発生しない。”

・補足に3週間位かかったが、「捕捉できた!」

INパケットの解析

・INパケットは、省略した
・理由
アクセスのきっかけは自分や windows 位だから、解析をやめた。
そもそも、パケットが沢山有り過ぎて、面倒。

OUTのパケットを解析

・パケットのバイナリデータは、今回解析しなかった。
・パケットした csv データを「エクセル」で読み込んで、「ピボット」を使って、集計した。
・プロトコル毎に、自分IPのから各々の相手IP毎に何バイト送信されたかを集計した。
・IPだけだと分かり難いので、
「統計」->「解決したアドレス」で表示された、「IP対アドレス名」を使い
エクセルの「Vlookup」で「IP」の「アドレス名」を全部表示させた。

解析の結果

スポンサードリンク

主なプロトコルでパケット量の多い物

主なプロトコルでパケット量の多い物は、tcp、TLS(HTTPS)、UDP であった。
しかし、UDP は特定の相手に送信するものではないので、除外した。
HTTPのパケット量は、SSL化が進み、HTTPS に変えているせいか、少なかった。

” ・総パケット量:615,482 byte”
” tcp :137,160 byte(総パケットに対し22%)”
” TLS(HTTPS) : 83,567 byte(総パケットに対し14%)”

・送信箇所毎のパケット量
” tcp :137,160 byte”
” dropbox.com で特定できたもの:58,454 byte(tcp総パケットに対し43%)”
” akadns6.net で特定できたもの:18,090 byte(tcp総パケットに対し13%)”

” TLS(HTTPS) : 83,567 byte”
” dropbox.com で特定できたもの:16,058 byte(TLS総パケットに対し19%)”
” microsoft.com で特定できたもの: 3,108 byte(TLS総パケットに対し 4%)”
” akadns.net で特定できたもの:20,707 byte(TLS総パケットに対し25%)*”

*[akadns.net]は「Windows 10 の接続エンドポイント」と呼ばれている。
*[Amazon S3] も「dropbox のエンドポイント」として利用されています。
*これらを考慮すると、「dropbox.com や microsoft.com」パケット使用量比率はもっと上がりそうです。

windows 10 が外部へ情報を送信しているのは、当たり前?だから、問題にしない。

気になる人は下記のurlを参考に、「Windows 10 のプライバシー設定]を変えよう!

デフォルトのままは危険? 「Windows 10」のプライバシー設定はこう変えよう

何が一番気になるのか?

それは「dropbox」だ。
1年前位に、必要が有ってインストールしたが、以後全然使用してない。
それなのに、print Screen を撮ったり、USBにHDDを繋ぐと「スクリーンショットを保存」
と、「dropbox」が言ってくる。

<「dropbox」保存要求画像>

そこで、
Dropbox の利用規約

を読むと、

「Dropbox が収集する情報とその理由について」には、以下の記述が有る。

『Dropbox は、本サービスの提供、改善および保護を行うことを目的とし、
次の情報を収集および使用します。』

つまり、「情報を収集」することは、前提になっているのだ。。。。
それにしても「送信情報量」が多い。。。。

結論

・「外部情報送信」は Dropbox だけではないので、「原因の特定」は先が長くなりそうだ。。
・取りあえず、Dropbox をアンインストールして、もう少し様子を見ることにした。

スポンサードリンク


この記事を書いている人 - WRITER -
*会社職務経歴  ・本店・安全・品質部長(2年)  ・ラインマン(送電線建設・保守)(30年)  ・情報システム(3年)

- Comments -

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください

Copyright© 仕事の進め方の効率化ブログ , 2018 All Rights Reserved.