Wiresharkでwindows10の外部(OUT)送信パケットを解析してみた
Contents
Wiresharkでwindows10の外部(OUT)送信パケットを解析してみた
最近はPC・スマホに入力した情報等が外部に送信されているのは、当たり前になっている?
そう思ったきっかけは、windows10 が勝手に夜中にアクセスしているからだ。
気になったので、ネットワーク負荷監視ツール「MRTG(by perl)」を入れて、夜中のアクセスを監視してみた。
ネットの情報は、IN(入ってくる)とOUT(出ていく)2つの方向が有る。
IN(入ってくる)は、自分で操作するネットアクセスか更新プログラム位なのはわかる。
ところが、OUT(出ていく)が時々、INと同じくらいあるときがある。
どうも、情報を抜き出されているようで、気味が悪いので、調べてみた。
<mrtg 画像>
パケット監視ツールは何か
どうも、パケット監視ツールは「WireShark」が一般的?なようだ。
前にも使ったことがあったので、「WireShark」を使うことにした。
「WireShark」 のバージョンは「2.6.1」です。WireSharkのインストールと操作
Wiresharkを使った通信監視(前編)――基本的な使い方とパケット解析
と(後編)を参考に、行った。主に使う機能は、パケットしたデータの保存と、その時の「IPのアドレス名」を取得することだ。
取得したデータは「エクセルのピボット」を使って、データを集計した。
1)パケットしたデータの保存の仕方
「ファイル」->「パケット解析をエクスポート」->「CSVとして」で保存した。
2)その時の「IPのアドレス名」の取得。
「統計」->「解決したアドレス」で表示されたデータをコピーして、テキストファイルで保存した。
OUTパケットの捕捉
・OUTパケットを捕捉するのは大変だ!
OUTのアクセス発生原因と時間は今のところ、不明。
そこで、OUTパケットを捕捉する方法を考えた。・mrtgのログは5分おきに書き出す。
・OUTのアクセスは10分以上続いている時が多い。
” ・そこで、5分おきの mrtgのログを見て、[OUTが10,000 byte 以上]の時に、”
wiresharkに同封されている「tshark.exe」を使い、5分間データ収集した。・プログラム(スクリプト)は、例によって「perl」で書いた。。
” ・しかし、mrtg のログが[OUTが10,000 byte 以上]の時は余り発生しない。”
・補足に3週間位かかったが、「捕捉できた!」
INパケットの解析
・INパケットは、省略した
・理由
アクセスのきっかけは自分や windows 位だから、解析をやめた。
そもそも、パケットが沢山有り過ぎて、面倒。OUTのパケットを解析
・パケットのバイナリデータは、今回解析しなかった。
・パケットした csv データを「エクセル」で読み込んで、「ピボット」を使って、集計した。
・プロトコル毎に、自分IPのから各々の相手IP毎に何バイト送信されたかを集計した。
・IPだけだと分かり難いので、
「統計」->「解決したアドレス」で表示された、「IP対アドレス名」を使い
エクセルの「Vlookup」で「IP」の「アドレス名」を全部表示させた。解析の結果
主なプロトコルでパケット量の多い物
主なプロトコルでパケット量の多い物は、tcp、TLS(HTTPS)、UDP であった。
しかし、UDP は特定の相手に送信するものではないので、除外した。
HTTPのパケット量は、SSL化が進み、HTTPS に変えているせいか、少なかった。” ・総パケット量:615,482 byte”
” tcp :137,160 byte(総パケットに対し22%)”
” TLS(HTTPS) : 83,567 byte(総パケットに対し14%)”・送信箇所毎のパケット量
” tcp :137,160 byte”
” dropbox.com で特定できたもの:58,454 byte(tcp総パケットに対し43%)”
” akadns6.net で特定できたもの:18,090 byte(tcp総パケットに対し13%)”” TLS(HTTPS) : 83,567 byte”
” dropbox.com で特定できたもの:16,058 byte(TLS総パケットに対し19%)”
” microsoft.com で特定できたもの: 3,108 byte(TLS総パケットに対し 4%)”
” akadns.net で特定できたもの:20,707 byte(TLS総パケットに対し25%)*”*[akadns.net]は「Windows 10 の接続エンドポイント」と呼ばれている。
*[Amazon S3] も「dropbox のエンドポイント」として利用されています。
*これらを考慮すると、「dropbox.com や microsoft.com」パケット使用量比率はもっと上がりそうです。windows 10 が外部へ情報を送信しているのは、当たり前?だから、問題にしない。
気になる人は下記のurlを参考に、「Windows 10 のプライバシー設定]を変えよう!
デフォルトのままは危険? 「Windows 10」のプライバシー設定はこう変えよう
何が一番気になるのか?
それは「dropbox」だ。
1年前位に、必要が有ってインストールしたが、以後全然使用してない。
それなのに、print Screen を撮ったり、USBにHDDを繋ぐと「スクリーンショットを保存」
と、「dropbox」が言ってくる。<「dropbox」保存要求画像>
そこで、
Dropbox の利用規約を読むと、
「Dropbox が収集する情報とその理由について」には、以下の記述が有る。
『Dropbox は、本サービスの提供、改善および保護を行うことを目的とし、
次の情報を収集および使用します。』つまり、「情報を収集」することは、前提になっているのだ。。。。
それにしても「送信情報量」が多い。。。。結論
・「外部情報送信」は Dropbox だけではないので、「原因の特定」は先が長くなりそうだ。。
・取りあえず、Dropbox をアンインストールして、もう少し様子を見ることにした。