Your SlideShare is downloading. ×
0
Pakeana 06
Pakeana 06
Pakeana 06
Pakeana 06
Pakeana 06
Pakeana 06
Pakeana 06
Pakeana 06
Pakeana 06
Pakeana 06
Pakeana 06
Pakeana 06
Pakeana 06
Pakeana 06
Pakeana 06
Pakeana 06
Pakeana 06
Pakeana 06
Pakeana 06
Pakeana 06
Pakeana 06
Pakeana 06
Pakeana 06
Pakeana 06
Pakeana 06
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Pakeana 06

2,421

Published on

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
2,421
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
20
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Wireshark とその他のツール hebikuzure
  • 2.  公式サイトからダウンロードしてインス トールしましょう http://www.wireshark.org/
  • 3.  最新バージョンを利用しましょう • セキュリティ修正が含まれます • 古いバージョンは攻撃対象になります • 現在の最新版は 1.6.4 (11/18 リリース) 環境では同梱の WinPcap を利用 Windows しましょう
  • 4. 4.1 以降のバージョンでは NPF WinPcap サービスが自動起動に設定されます • [管理者として実行] しなくてもパケット キャプ チャができます • 自動起動で問題がある場合は、以下のレジストリ キーで設定が変更できます HKLMSYSTEMCurrentControlSetservices NPFStart  0x1 : SERVICE_SYSTEM_START  0x2 : SERVICE_AUTO_START  0x3 : SERVICE_DEMAND_START
  • 5.  How To Set Up a Capture http://wiki.wireshark.org/CaptureSetup Security http://wiki.wireshark.org/Security Platform-Specific information about capture privileges http://wiki.wireshark.org/CaptureSetup/Cap turePrivileges
  • 6.  Wireshark User‘s Guide http://www.wireshark.org/docs/ wsug_html_chunked/ Wireshark Wiki http://wiki.wireshark.org/FrontPage Wireshark University http://www.wiresharktraining.com/
  • 7.  実践 パケット解析――Wiresharkを使った トラブルシューティング • http://www.oreilly.co.jp/books/9784873113517/ • ISBN978-4-87311-351-7
  • 8.  Wireshark の Export 機能を利用する NetworkMiner を利用する 手作業で頑張る
  • 9.  [File] – [Export] – [Objects] • HTTP, SMB, DICOM に対応
  • 10. As], [Save All] でオブジェクトを [Save ファイルとして保存できます
  • 11. – [Export] – [Objects] – [HTTP] [File] “Save As” または “Save All” でHTTP コン テンツを取り出す
  • 12. – [Export] – [Objects] – [HTTP] [File] “Save As” でHTTP コンテンツとしてビデ オ ファイルを取り出す Video で再生されているので、抽 HTML5 出したファイルはそのまま mp4 動画とし て再生できる
  • 13.  Twitter クライアントの通信データのキャ プチャ ファイル [File] – [Export] – [Objects] – [HTTP] ファイルとしての抽出は可能だが、内容は JSON なので、そのままでは簡単に読み取 れない • アプリケーション レベルでのデータ再構成が必要
  • 14.  FTP なので Export は利用できない • Passive モードなのでポートも不定 • そこで “227 Entering Passive Mode” を探す • ファイル名はその次の FTP コマンド "Request: RETR (filename.ext)" で確認できる Passive port が指定されているので、 "tcp.port == (ポート番号)" でフィルタ • これで目的のファイルがダウンロードされているスト リームだけに絞り込める TCP Stream でデータを抽出 Follow データ形式を [Raw] にして [Save As] で保存
  • 15.  SMTP なので Export は利用できない • データは Wireshark でリアセンブルできる • [Edit preferences] - [Protocols] - [SMTP] で "Reassemble SMTP DATA commands spanning mulitple TCP segments" をオンにしておく “SMTP” でフィルタ (必要に応じて IP アドレスでもフィルタ) サーバー レスポンスを検索 "354 Enter mail, end with "." on a line by itself"
  • 16.  直後のクライアントからのデータ フレー ムを見つけると、フレーム詳細ペインでリ アセンブルされているフレーム番号が確認 できる 確認したフレームを選択し、フレーム詳細 ペインで “Internet Message Format” を右 クリック、[Copy] - [Bytes] - [Printable Text Only] でコピー テキスト エディタにコピーしたテキスト を貼り付けて保存
  • 17.  ファイル サーバーに読み書きされたファイルを抽出できる(はず) 残念ながらSMB2に対応していない模様
  • 18.  http://www.lovemytool.com/blog/2011/11/wi reshark-export-smb-objects-by-joke- snelders.html (http://goo.gl/bIvTv) http://wiki.wireshark.org/SampleCaptures (http://goo.gl/dgh89)
  • 19.  SMB2 のストリームを見つける • smb2.read_length / smb2.write_length で フィルタすると見つけやすい 目的の Response を見つける パケット詳細のペインで SMB2->Read Response (Write Response) を展開 Read Data (Write Data) を右クリック Copy – Bytes – Binary Stream でコピー バイナリ エディタに貼り付けて保存
  • 20. でコピーされているファイルをキャ SMB2 プチャ データから抽出します
  • 21. ではファイルの特定部分だけ SMB/SMB2 読出し/書き込みしている場合がある ファイル コピーのような全データの読出 し/書き込みでないと完全なファイルとし ての抽出はできない
  • 22.  Wireshark Display Filter Reference http://www.wireshark.org/docs/dfref/
  • 23.  キャプチャからのデータ抽出が目的なら NetworkMinor が便利 パケット キャプチャと同時に自動的に ファイル抽出を行ってくれる PCAP ファイルを読み込ませて抽出させる こともできる 入手は : http://www.netresec.com/?page=NetworkM iner
  • 24.  NetworkMinor を利用したファイル抽出

×