スキップしてメイン コンテンツに移動

libpcap-rubyを使ってパケットキャプチャ

Hokkaido.cap(パケットキャプチャ勉強会)の主催(とはいえ僕の担当は司会)をやってることもあって、ちょっとRubyを使ってパケットキャプチャしてみようと思いました。Debianにはlibpcap-rubyというパッケージがあるので、それをaptitude installするだけです。

参考:Ruby/Pcap拡張ライブラリ

ソースは以下。


#!/usr/bin/ruby

require 'pcap'

def cap_data(dev,filstr,count)
  # [device],[snaplen],[promisc?],[read timeout(ms)]
  pcaplet = Pcap::Capture.open_live(dev,1460,true,1000)

  access = Pcap::Filter.new(filstr,pcaplet)
  pcaplet.setfilter(access)
  pcaplet.each_packet(count) do |pkt|
    odata = String.new
    if pkt.tcp? == true then
       odata = "[TCP]"
       odata = odata + pkt.ip_src.to_s + ":" + pkt.tcp_sport.to_s + " -> "
       odata = odata + pkt.ip_dst.to_s + ":" + pkt.tcp_dport.to_s + " "
       odata = odata + pkt.tcp_data.to_s
       p odata
    elsif pkt.udp? == true then
       odata = "[UDP]"
       odata = odata + pkt.ip_src.to_s + ":" + pkt.udp_sport.to_s + " -> "
       odata = odata + pkt.ip_dst.to_s + ":" + pkt.udp_dport.to_s + " "
       odata = odata + pkt.udp_data.to_s
       p odata
    elsif pkt.ip? == true then
       odata = "[IP]"
       odata = odata + pkt.ip_src.to_s + " -> "
       odata = odata + pkt.ip_dst.to_s ; " "
       odata = odata + pkt.ip_data.to_s
       p odata
    end
  end
  pcaplet.close
end

# [capture device],[filter strings],[count(負の数だと無限繰り返し)]
# SSH通信をFilter(リモート作業の関係で)
cap_data("eth0","!src port 22 and !dst port 22",-1);

exit
出力結果は以下。
"[UDP]172.16.1.1:53 -> 172.20.0.130:37717 a\264\201\200\000\001\000\003\000\000\000\000\003ftp\002jp\006debian\003org\000\000\001\000\001\300\f\000\005\000\001\000\000\vA\000\022\003cdn\006debian\002or\002jp\000\300/\000\005\000\001\000\006v]\000\022\002jp\003cdn\005araki\003net\000\300M\000\001\000\001\000\000\000<\000\004\226A\a\202"
"[TCP]172.20.0.130:54574 -> 150.65.7.130:80 "
"[TCP]172.20.0.130:54574 -> 150.65.7.130:80 GET /debian/dists/squeeze/Release.gpg HTTP/1.1\r\nHost: ftp.jp.debian.org\r\nConnection: keep-alive\r\nCache-Control: max-age=0\r\nIf-Modified-Since: Sat, 19 Mar 2011 13:23:11 GMT\r\nUser-Agent: Debian APT-HTTP/1.3 (0.8.10.3)\r\n\r\nGET /debian/dists/squeeze/main/i18n/Translation-en.bz2 HTTP/1.1\r\nHost: ftp.jp.debian.org\r\nConnection: keep-alive\r\nUser-Agent: Debian APT-HTTP/1.3 (0.8.10.3)\r\n\r\nGET /debian/dists/squeeze/main/i18n/Translation-ja.bz2 HTTP/1.1\r\nHost: ftp.jp.debian.org\r\nConnection: keep-alive\r\nIf-Modified-Since: Fri, 04 Feb 2011 12:30:31 GMT\r\nUser-Agent: Debian APT-HTTP/1.3 (0.8.10.3)\r\n\r\nGET /debian/dists/squeeze-updates/Release.gpg HTTP/1.1\r\nHost: ftp.jp.debian.org\r\nConnection: keep-alive\r\nCache-Control: max-age=0\r\nIf-Modified-Since: Fri, 27 May 2011 02:22:14 GMT\r\nUser-Agent: Debian APT-HTTP/1.3 (0.8.10.3)\r\n\r\nGET /debian/dists/squeeze-updates/main/i18n/Translation-en.bz2 HTTP/1.1\r\nHost: ftp.jp.debian.org\r\nConnection: keep-alive\r\nUser-Agent: Debian APT-HTTP/1.3 (0.8.10.3)\r\n\r\nGET /debian/dists/squeeze-updates/main/i18n/Translation-ja.bz2 HTTP/1.1\r\nHost: ftp.jp.debian.org\r\nConnection: keep-alive\r\nUser-Agent: Debian APT-HTTP/1.3 (0.8.10.3)\r\n\r\n"
パケットヘッダを個別に取得するメソッドもあるし、データ部も可読化してやれば結構使えそう。pcapファイルをOpenして読み込むことも出来るようで、GUIであるが故に大量のデータの読み込みが遅かったりするところを、Rubyを使って必要なデータだけピックアップする、というのは便利そうかな。なかなか良い感じだと思いました。


このブログの人気の投稿

自走する組織に必要なのはルールではなくガイドライン

ということをいつも心がけている、という話です。 僕が組織のマネジメント職を20年ほどやらせてもらっている上で、いつも意識しているのは権限移譲とセルフマネジメントです。この辺の話は過去のブログにも書きました。 管理職のためのエンジニア組織構築マニュアル 管理職のための役職引退マニュアル 現場に口を出さないマネージャーの作り方 つまり「権限と裁量を同時に移譲し、責任感を持ってプロアクティブに仕事をしてもらいながらも、メンバーの良いところを更に引き出して高いパフォーマンスを出してもらう」ことこそが、マネジメント職のやるべきことだと思っています。 そのために僕がいつも権限移譲の際に伝えるのは、ルールではなくガイドラインです。ルールは規則や規定といった決まりごとなので「やること」「やってはいけないこと」が書かれたものです。ガイドラインは大まかな指針なので「方向性」「やったほうがいいこと」「やらないほうがいいこと」が書かれたものです。 ルールを提示した場合、そのとおりにすれば過去の実績からある程度の成功は見込めるものの、状況に応じた柔軟な判断が出来ませんし、メンバーの考えや意見が行動に反映されません。メンバーはルール通りの行動しか出来ず、結果としてルールを作成した人以上の成果は出せなくなってしまいます。 ガイドラインの場合、会社として望ましいと考える方向性だけが書かれているので、状況に応じた柔軟な判断も出来ますし、メンバーが考えるより良いやり方や行動を取り入れることが出来ます。ガイドラインを作成した人以上の良いアイデアがあればガイドラインをアップデートすることも出来ます。 これは権限移譲だけでなく、育成においても同様だと僕は考えます。1から10まで決まりきったカリキュラムをやらせることも時には(あるいは人によっては)必要だけれど、本当に価値のある育成は、メンバーに目指してほしい姿を伝え、現在とのギャップを一緒に認識し、そのギャップを埋めるための多種多様な方法を伝えて、その上で本人が取捨選択して自分自身で学習していく。企業や上長はそのサポートを行う。というのが、最も成長出来る育成方法だと思います。 学習する組織 ― システム思考で未来を創造する posted with AmaQuick at 2

努力できること自体が才能なので、努力しただけで褒められるべき

発明王トーマス・エジソンの名言としてよく知られる「天才とは1%のひらめきと99%の努力である」という言葉があります。実際の意図は「1%のひらめきがなければ、99%の努力は無駄になる」であったとも 言われています が、まぁどちらにせよ、ひらめきだけでは成功することはできず、そこには必ず努力も必要となります。 漫画「はじめの一歩」において主人公の師匠である鴨川会長は「努力した者が全て報われるとは限らん。しかし、成功した者は皆すべからく努力しておる」と言っていました。ここにも、成功において努力は必要不可欠であるとの強いメッセージがあります。 しかし、実際には誰もが努力できるわけではありません。 努力できること自体が才能 なのだと思います。 努力をしないことが問題だと言うつもりはありませんし、努力をしないという選択肢を選ぶことは個人の自由だと思います。必ずしも成功が万人の幸せなわけではないし、成功しなくても得られる生活によって満足する人だっています。 僕が言いたいのは「そもそも努力できない人がいる」という事実です。こういう方は選択の余地が無く、何かにおいて1位になったり、一流になったり、勝利したり、成功したりすることは難しくなります。それらには必ず努力が必要になるからであり、そして努力ができない、努力をする才能が無いからです。 これには実験の裏付けがあります。詳しくは10年前の WIREDの記事 に書かれていますが、ざっくり言うと、脳内の一部(左線条体と前頭前皮質腹内側部)におけるドーパミン作動性活性が高いと努力ができる、違う一部( 島皮質)の ドーパミン作動性活性が高いと努力できない、という実験結果があります。そもそも脳の作りや働きによって努力ができる人とできない人がいる、ということです。 繰り返しになりますが、僕は努力しない人が悪いとも思っていないし、責めるつもりもありません。僕が言いたいのは以下の2点です。 (1)努力できること自体が才能であり、その才能が無い人はそもそも努力ができないので 、努力できないことを責めてはいけない。 それは本人の特性であり個性だから。 (2)努力できること自体がすごいことなので、努力した結果が成功に結びつかなかったとしても、責めてはいけない。 努力しただけで褒められてよい。 人にはそれぞれ適材適所があるので、めちゃくちゃ努力する人は努力が

組織を構成するビルダー、フォロワー、ワーカーについて

僕の経験上、新しい事業体を立ち上げたときの組織構成は大きく3つに分かれる。というか3つのタイプを必要とする。なお、ここではそもそもパフォーマンスが出ない人を含めていない。 その事業を成功させることに高いモチベーションがあり、その結果の責任も積極的に取るタイプ。会社の創業者とか新部門の責任者とか、立ち上げメンバーがコレに当たる。 もともとはその事業に対して特にモチベーションが無いんだけど、事業を担当することによって深くコミットし、結果としてモチベーションが高くなるタイプ。 事業に対するモチベーションが無いからコミットもしないんだけど、担当する業務はしっかりとこなすタイプ。 1をビルダー、2をフォロワー、3をワーカーとこの記事では呼称する。 事業が立ち上がったばかりの組織構成として、ビルダーは当然少ない。可能な限りフォロワーを増やすことを僕はお薦めする。事業のスタート時期というのは不足していたりそもそも無かったりすることがたくさんあり、それらをプロアクティブに拾い続けて解決するためにはモチベーションが必要だからだ。この時期の組織では、業務に対して合うスキルセットの人を採用する(=ワーカー)より、企業理念や事業ビジョンにコミットしてくれる人(フォロワー)を採用したほうがスピードが上がる。ワーカーがあまりに多いと作業指示が無いゆえの作業待ちが発生し、スピードが上がらない。比率的には1:6:3くらい。 事業がある程度立ち上がって順調に拡大するフェーズになると、今度はフォロワーをどうやってビルダーに成長させるか、ワーカーをどうやってフォロワーに成長させるか、が課題になる。このくらいのフェーズではマネジメント教育とかコーチング研修なんかが必要になる。企業理念や事業ビジョンを更に明確にし、言い続け、常に意識させる作業が必要になる。 そして、ある程度事業の形が出来てくると、ふわふわした仕事が少なくなるので、ワーカーを業務に対してアサインしやすくなる。こうなると2:4:4くらいの比率でも上手くいく。それでもワーカーを過半数以上にするのは僕はおすすめしない。事業にコミットしない人が増えると組織全体が「コミットしないのが当たり前」「コミットしない人が評価されて不公平」みたいな空気感が生まれちゃうことが多い。なので過半数以上は事業にコミットする人で固めたほうが良い。 つまり、組織の責任者は「