• Save
フレッシャーズのためのパケット解析入門
Upcoming SlideShare
Loading in...5
×
 

フレッシャーズのためのパケット解析入門

on

  • 4,865 views

第14回「ネットワークパケットを読む会(仮)」・「フレッシャーズのためのパケット解析入門」の発表スライド

第14回「ネットワークパケットを読む会(仮)」・「フレッシャーズのためのパケット解析入門」の発表スライド

Statistics

Views

Total Views
4,865
Views on SlideShare
4,755
Embed Views
110

Actions

Likes
3
Downloads
0
Comments
0

1 Embed 110

https://twitter.com 110

Accessibility

Categories

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

フレッシャーズのためのパケット解析入門 フレッシャーズのためのパケット解析入門 Presentation Transcript

  • フレッシャーズのた めのパケット解析入門 2013年4月19日第14回「ネットワーク パケットを読む会 (仮)」
  • About me• 村地 彰(aka hebikuzure) – 株式会社シーピーエス 代表取締役 – Twitter : @hebikuzure – Facebook : https://www.facebook.com/amurachi – Web site : http://www.hebikuzure.com/ – Blog : http://hebikuzure.wordpress.com/ – Mail : セミプロに駆逐されるプロという構図2013/4/8 2 勉強会
  • 「パケット」とは何?• パケット通信方式における情報の伝送単 位じゃ、「パケット通信方式」って何?• 連続データを一定量ずつ蓄積して1個の伝 送単位にして、伝送路の空いているタイ ミングで送出、受信したデータを元の連 続データに復元する方式
  • つまりこういうこと?• 連続データ • パケット
  • パケット解析とは1. パケットをキャプチャする2. キャプチャしたパケットを上位のプ ロトコルごとにその内容を解析する – プロトコル自体の解析 – 最終的にやりとりされるアプリケー ション データの解析
  • パケット キャプチャとは• パケット1つ1つに含まれるデータを 記録する• パケットに含まれるデータ – 送信先 – 送信元 – サイズ(パケット長) – データの種類(上位プロトコル)
  • キャプチャされる場所アプリケーション層プレゼンテーション 層 セッション層トランスポート層ネットワーク層データリンク層 物理層
  • 別の見方アプリケーション層トランスポート層インターネット層 リンク層
  • パケット キャプチャの手法パケットをキャプチャする場所対象デバイス内 対象デバイス外パケットをキャプチャする方法ハードウェア ソフトウェア
  • 対象デバイス外でのキャプチャ• ミラー ポート• タップ• プロキシやゲートウェイでのキャプ チャ• 通信の対向側(サーバー側)での キャプチャ
  • 対象デバイス内でのキャプチャ• オペレーティング システムに付属する ツールを利用する – Linux / Unix 環境なら tcpdump• オペレーティング システム ベンダー提供 のツールを利用する – Windows 環境なら netcap / Network Monitor• サードパーティのツールを利用する – Wireshark / OmniPeek / NetworkMiner
  • ツールにもいろいろある• コマンドライン ツール – tcpdump, netcap, tshark(Wireshark のコマンド 版)など – 動作が軽快、バッチ処理などに向く• GUI ツール – Wireshark, Network Monitor, OmniPeek, NetworkMiner など – 設定が分かりやすい、結果がすぐに確認でき る – その場で解析が可能
  • ダウンロード リンク• Wireshark – http://www.wireshark.org/• Microsoft Network Monitor – http://www.microsoft.com/en- us/download/details.aspx?id=4865• NetworkMiner – http://www.netresec.com/?page=NetworkMiner
  • データの形式• キャプチャ データの保存形式はさま ざま – キャプチャする環境 – 利用するツール• 良く利用される形式 –libpcap 形式(拡張子 pcap) –Wireshark 新形式(拡張子 pcapng) –Network Monitor 形式(拡張子 cap)
  • どんなデータが記録されるのか• パケット全体のバイナリ データ• 記録した時刻• キャプチャしたインターフェイス• トラフィックを発生させたプロセス
  • DEMO• Wireshark を使ったパケット キャプ チャ
  • DEMO• Network Monitor を使ったパケット キャプ チャ
  • DEMO• NetworkMiner を使ったパケット キャプ チャ
  • パケット解析• 基本的にはツールを利用 – Wireshark / Network Monitor / OmniPeek / NetworkMiner などなど• 力技で独自解析 – pcap などのフォーマットは公開されて いるので、独自にバイナリ解析
  • DEMO• Wireshark を使ったパケット解析
  • DEMO• Network Monitor を使ったパケット解析
  • DEMO• NetworkMiner を使ったパケット解析
  • おすすめ参考書• 実践 パケット解析 – http://www.oreilly.co.jp/books/9784873115696/• パケットキャプチャ入門 – http://www.ric.co.jp/book/contents/book_875.html• パケットキャプチャ実践技術 – http://www.ric.co.jp/book/contents/book_796.html• 現場で使えるパケット解析テクニック – http://ascii.asciimw.jp/books/books/detail/978-4- 7561-5018-9.shtml