Wireshark だけに頼らない! パケット解析ツールの紹介

Wireshark だけに頼らない! パケット解析ツールの紹介

1. 1. 2014年7月4日ネットワークパケットを読む会(仮)第18回発表資料 Wireshark だけに頼らない! パケット解析ツールの紹介 @k_morihisa
2. 2. $ whoami • 名前：森久 和昭 • Twitter：@k_morihisa • 情報セキュリティエンジニア・アナリスト
 • 趣味でハニーポットを観察してます
 
 http://www.morihi-soc.net/ ! • 第10回「ネットワークパケットを読む会（仮）」
 
 何が変わった!? Wireshark 1.8
 http://www.slideshare.net/morihisa/wireshark-18 2
3. 3. パケット好きですか?
4. 4. ご注文は Wireshark ですか? • デモ 4
5. 5. Wireshark がやられたようだな．．． 5
6. 6. 困った(́・ω・｀) • Wireshark 自体の脆弱性を突いたパケットを
 含むファイルの解析をする場合 ! • 巨大なファイルサイズのパケット解析をする場合 ! • そもそも，GUI 環境でない場合 ! • 楽しくパケット解析したい 6
7. 7. つまり 誤：ご注文は Wireshark ですか? ! 正：ご注文はパケット解析ツールですか? 7
8. 8. 様々なパケット解析ツール • GUI編 ! • CUI編 ! • Wireshark ファミリー編 ! • おまけ 8
9. 9. GUI編 • Network Miner • Xplico 9
10. 10. Network Miner • パケットからデータ収集できるツール ! • 公式サイト
 http://www.netresec.com/?page=NetworkMiner 10
11. 11. Network Miner 11 pcapを ドラッグ&ドロップ インターフェースを指定して リアルタイムキャプチャ
12. 12. Network Miner • 抽出したファイルはフォルダに保存される • NetworkMinerAssembledFilesホスト毎 ! • 有料版もある • pcapng 形式ファイルの解析ができる • CSV/Excel でデータ出力ができる • コマンドライン版が使える 等 12
13. 13. Xplico • Web インターフェースを持つパケット解析ツール • 複数人でのトラフィックデータの共有に向いている ! • 公式サイト • http://www.xplico.org/ 13
14. 14. Xplico 14
15. 15. Xplico • インストールや使い方は wiki 参照 • http://wiki.xplico.org/ ! • デフォルトポート：9876/tcp →FW の ACL 注意 • デフォルトユーザ：admin / xplico →パスワード変更 ! • 最も簡単な使い方 1. ケースを作成 2. セッションを作成 3. pcap アップロード / リアルタイムキャプチャ 15
16. 16. Xplico • いろいろ解析してくれる • Web • Email • FTP • DNS 等 ! • 解析には負荷がかかる →巨大なファイルだと時間がかかる 16
17. 17. СUI編 • tcpdump • tcpflow • tcpslice 17
18. 18. tcpdump • パケットキャプチャといえば tcpdump ! • 公式 • http://www.tcpdump.org/ ! ! • 初心者もう使いこなしている人たちばかりだと
 思うので，今回は省略 18
19. 19. tcpflow • 送信元先 IP/port のセッションごとに分割 ! • GitHub tcpflow • https://github.com/simsong/tcpflow 19
20. 20. tcpflow • 簡単な使い方 • キャプチャファイルを読み込む $ tcpflow [-c] -r キャプチャファイル フィルタ ! • ライブキャプチャ $ tcpflow [-c] -i インターフェース フィルタ ! • 重要 • -c オプションをつけるとディスプレイ表示のみ • つけないと，セッション内容はファイルに保存 20
21. 21. tcpflow • -c オプションを忘れるとこうなる 21 ＼ や べ え ／
22. 22. tcpslice • 時間を指定してパケットを切り出すツール ! • GitHub tcpslice • https://github.com/the-tcpdump-group/tcpslice 22
23. 23. tcpslice • 使い方 $ tcpslice -r パケットファイル →開始時間と終了時間を普通の日時で表示 ! $ tcpslice -t パケットファイル →開始時間と終了時間を ymdhmsu 方式で表示 ! $ tcpslice -d ymdhmsu +秒数 パケットファイル →開始と終了の UNIX 時間が表示 ! $ tcpslice -w 保存ファイル名 開始時間 終了時間 元ファイル →UNIX 時間で指定 23
24. 24. tcpslice • こんな感じで切り出しができます． 24
25. 25. Wireshark も使いたい
26. 26. Program Files を開いてみよう • たくさん exe がありますね． • 少しだけ紹介します． 26
27. 27. Wireshark ファミリー編 • capinfos.exe • キャプチャファイルの情報を表示 • pcap や pcapng 等の確認に役立つ ! • editcap.exe • キャプチャファイルを分割 • パケット数で分割したり，pcap - pcapng 変換 ! • mergecap.exe • キャプチャファイルを統合 27
28. 28. キャプチャプログラム使いどころ • wireshark.exe • GUI でパケットキャプチャと解析ができる ! • tshark.exe • CUI でパケットキャプチャと解析ができる ! • dumpcap.exe • CUI でパケットキャプチャできる．早い 28
29. 29. おまけ • VirusTotal • https://www.virustotal.com/ja/ • ファイルをアップロードすると，マルウェア対策 ソフトでの検出状況を確認可能 ! • キャプチャファイルも解析してくれる • Snort や Suricata といった IDS の検知状況が
 確認できる 29
30. 30. 参考 • ネットワークトラブルシューティングツール(書籍) • http://www.oreilly.co.jp/books/4873110807/ ! • SecTools • http://sectools.org/ ! • Probably the Best Free Security List in the World • http://www.techsupportalert.com/content/ probably-best-free-security-list-world.htm 30
31. 31. ありがとうございました