【ネットワーク・メモ記事】wiresharkに搭載されている遅延往復時間測定器がマサフィーの認識と違った話

追記(11/17):一部、自分のメモ書きがあったので削除しました。（消したはずなんだけどなぁ）

マサフィーは卒業研究関係でパケット分析を行うことになり、Wiresharkなどを触る機会が増えて、いろいろ触ってるうちに、この機能間違ってね？って思うことがあったのでここに書いておきます。

言わずと知れた、パケットキャプチャソフト！過去に流れてたパケットや今流れているパケットを分析できたり、いろいろ便利なソフトウェアです。

Wiresharkの機能で、パソコンから特定のサーバの往復遅延時間を求めることができます。
理解して使うことができれば、とっても便利な機能で下記のリンクが参考になります。
http://www.mieruka.link/2020/05/02/wireshark%E9%81%94%E4%BA%BA%E3%81%B8%E3%81%AE%E9%81%93-%E7%AC%AC%E5%8D%81%E6%AD%A9-rttround-trip-time%E3%82%B0%E3%83%A9%E3%83%95%E3%81%AE%E7%94%9F%E6%88%90/

ただし、ここの記事やその他の記事でも全く紹介されてないのですが、サーバ視点から見たときの遅延往復時間が極端に短くなっています。なぜかいろいろ考えてわかったので、ここに書いておきます。

アメリカにあるサーバへRTTの時間を測定したところ、以上のようにほぼ０秒というわけがわからない状況になってしまいました。これは題目にも書いてあるようにサーバ視点から見たRTTのように思えます。

自分のパソコン視点から見ると上記の図のようになります。
アメリカのサーバへRTTの計測を行っているので、200ms近い数値は適切であると考えられます。

これらの画像からマサフィー的にはこのようなことがおきているのかな？と思いました。

アメリカのサーバから見るとrttが0.05msで、自分のパソコンからrttを測定すると180msということは、サーバがすげえやつ！？と考えましたが、実際は違いましたw

結論をいうと、アメリカのサーバから送られてきたパケットに対しての応答パケットを作成・返信してる間の時間でしたw

画像では3.220.213.82 -> 10.0.165.206と書いてあるので、アメリカサーバから日本へのRTTだと勘違いしてしまうかもしれませんが、冷静になればそのRTTの数値は自分のパソコンでは測定することはできません。

もっと書き方どうにかならなかったのかなぁ。と思うマサフィーだった。。。

終わり