• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
Pakeana 06
 

Pakeana 06

on

  • 2,319 views

 

Statistics

Views

Total Views
2,319
Views on SlideShare
2,318
Embed Views
1

Actions

Likes
0
Downloads
18
Comments
0

1 Embed 1

http://a0.twimg.com 1

Accessibility

Categories

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    Pakeana 06 Pakeana 06 Presentation Transcript

    • Wireshark とその他のツール hebikuzure
    •  公式サイトからダウンロードしてインス トールしましょう http://www.wireshark.org/
    •  最新バージョンを利用しましょう • セキュリティ修正が含まれます • 古いバージョンは攻撃対象になります • 現在の最新版は 1.6.4 (11/18 リリース) 環境では同梱の WinPcap を利用 Windows しましょう
    • 4.1 以降のバージョンでは NPF WinPcap サービスが自動起動に設定されます • [管理者として実行] しなくてもパケット キャプ チャができます • 自動起動で問題がある場合は、以下のレジストリ キーで設定が変更できます HKLMSYSTEMCurrentControlSetservices NPFStart  0x1 : SERVICE_SYSTEM_START  0x2 : SERVICE_AUTO_START  0x3 : SERVICE_DEMAND_START
    •  How To Set Up a Capture http://wiki.wireshark.org/CaptureSetup Security http://wiki.wireshark.org/Security Platform-Specific information about capture privileges http://wiki.wireshark.org/CaptureSetup/Cap turePrivileges
    •  Wireshark User‘s Guide http://www.wireshark.org/docs/ wsug_html_chunked/ Wireshark Wiki http://wiki.wireshark.org/FrontPage Wireshark University http://www.wiresharktraining.com/
    •  実践 パケット解析――Wiresharkを使った トラブルシューティング • http://www.oreilly.co.jp/books/9784873113517/ • ISBN978-4-87311-351-7
    •  Wireshark の Export 機能を利用する NetworkMiner を利用する 手作業で頑張る
    •  [File] – [Export] – [Objects] • HTTP, SMB, DICOM に対応
    • As], [Save All] でオブジェクトを [Save ファイルとして保存できます
    • – [Export] – [Objects] – [HTTP] [File] “Save As” または “Save All” でHTTP コン テンツを取り出す
    • – [Export] – [Objects] – [HTTP] [File] “Save As” でHTTP コンテンツとしてビデ オ ファイルを取り出す Video で再生されているので、抽 HTML5 出したファイルはそのまま mp4 動画とし て再生できる
    •  Twitter クライアントの通信データのキャ プチャ ファイル [File] – [Export] – [Objects] – [HTTP] ファイルとしての抽出は可能だが、内容は JSON なので、そのままでは簡単に読み取 れない • アプリケーション レベルでのデータ再構成が必要
    •  FTP なので Export は利用できない • Passive モードなのでポートも不定 • そこで “227 Entering Passive Mode” を探す • ファイル名はその次の FTP コマンド "Request: RETR (filename.ext)" で確認できる Passive port が指定されているので、 "tcp.port == (ポート番号)" でフィルタ • これで目的のファイルがダウンロードされているスト リームだけに絞り込める TCP Stream でデータを抽出 Follow データ形式を [Raw] にして [Save As] で保存
    •  SMTP なので Export は利用できない • データは Wireshark でリアセンブルできる • [Edit preferences] - [Protocols] - [SMTP] で "Reassemble SMTP DATA commands spanning mulitple TCP segments" をオンにしておく “SMTP” でフィルタ (必要に応じて IP アドレスでもフィルタ) サーバー レスポンスを検索 "354 Enter mail, end with "." on a line by itself"
    •  直後のクライアントからのデータ フレー ムを見つけると、フレーム詳細ペインでリ アセンブルされているフレーム番号が確認 できる 確認したフレームを選択し、フレーム詳細 ペインで “Internet Message Format” を右 クリック、[Copy] - [Bytes] - [Printable Text Only] でコピー テキスト エディタにコピーしたテキスト を貼り付けて保存
    •  ファイル サーバーに読み書きされたファイルを抽出できる(はず) 残念ながらSMB2に対応していない模様
    •  http://www.lovemytool.com/blog/2011/11/wi reshark-export-smb-objects-by-joke- snelders.html (http://goo.gl/bIvTv) http://wiki.wireshark.org/SampleCaptures (http://goo.gl/dgh89)
    •  SMB2 のストリームを見つける • smb2.read_length / smb2.write_length で フィルタすると見つけやすい 目的の Response を見つける パケット詳細のペインで SMB2->Read Response (Write Response) を展開 Read Data (Write Data) を右クリック Copy – Bytes – Binary Stream でコピー バイナリ エディタに貼り付けて保存
    • でコピーされているファイルをキャ SMB2 プチャ データから抽出します
    • ではファイルの特定部分だけ SMB/SMB2 読出し/書き込みしている場合がある ファイル コピーのような全データの読出 し/書き込みでないと完全なファイルとし ての抽出はできない
    •  Wireshark Display Filter Reference http://www.wireshark.org/docs/dfref/
    •  キャプチャからのデータ抽出が目的なら NetworkMinor が便利 パケット キャプチャと同時に自動的に ファイル抽出を行ってくれる PCAP ファイルを読み込ませて抽出させる こともできる 入手は : http://www.netresec.com/?page=NetworkM iner
    •  NetworkMinor を利用したファイル抽出