Wireshark とその他のツール           hebikuzure
 公式サイトからダウンロードしてインス トールしましょう http://www.wireshark.org/
 最新バージョンを利用しましょう • セキュリティ修正が含まれます • 古いバージョンは攻撃対象になります • 現在の最新版は 1.6.4 (11/18 リリース)     環境では同梱の WinPcap を利用 Windows しましょう
4.1 以降のバージョンでは NPF WinPcap サービスが自動起動に設定されます • [管理者として実行] しなくてもパケット キャプ   チャができます • 自動起動で問題がある場合は、以下のレジストリ   キーで設定が変更できます ...
 How    To Set Up a Capture  http://wiki.wireshark.org/CaptureSetup Security  http://wiki.wireshark.org/Security Platfo...
 Wireshark    User‘s Guide  http://www.wireshark.org/docs/  wsug_html_chunked/ Wireshark Wiki  http://wiki.wireshark.org...
 実践   パケット解析――Wiresharkを使った トラブルシューティング • http://www.oreilly.co.jp/books/9784873113517/ • ISBN978-4-87311-351-7
 Wireshark   の Export 機能を利用する NetworkMiner   を利用する 手作業で頑張る
 [File]   – [Export] – [Objects]  • HTTP, SMB, DICOM に対応
As], [Save All] でオブジェクトを [Save ファイルとして保存できます
– [Export] – [Objects] – [HTTP] [File] “Save As” または “Save All” でHTTP コン  テンツを取り出す
– [Export] – [Objects] – [HTTP] [File] “Save As” でHTTP コンテンツとしてビデ  オ ファイルを取り出す     Video で再生されているので、抽 HTML5 出したファイルはそのま...
 Twitter  クライアントの通信データのキャ  プチャ ファイル [File] – [Export] – [Objects] – [HTTP] ファイルとしての抽出は可能だが、内容は  JSON なので、そのままでは簡単に読み取  ...
 FTP なので Export は利用できない   • Passive モードなのでポートも不定   • そこで “227 Entering Passive Mode” を探す   • ファイル名はその次の FTP コマンド   "Reque...
 SMTP   なので Export は利用できない • データは Wireshark でリアセンブルできる • [Edit preferences] - [Protocols] - [SMTP] で   "Reassemble SMTP D...
 直後のクライアントからのデータ               フレー  ムを見つけると、フレーム詳細ペインでリ  アセンブルされているフレーム番号が確認  できる 確認したフレームを選択し、フレーム詳細  ペインで “Internet Me...
 ファイル    サーバーに読み書きされたファイルを抽出できる(はず) 残念ながらSMB2に対応していない模様
 http://www.lovemytool.com/blog/2011/11/wi  reshark-export-smb-objects-by-joke-  snelders.html  (http://goo.gl/bIvTv) ht...
 SMB2   のストリームを見つける • smb2.read_length / smb2.write_length で   フィルタすると見つけやすい 目的の   Response を見つける パケット詳細のペインで  SMB2->Re...
でコピーされているファイルをキャ SMB2 プチャ データから抽出します
ではファイルの特定部分だけ SMB/SMB2  読出し/書き込みしている場合がある ファイル コピーのような全データの読出  し/書き込みでないと完全なファイルとし  ての抽出はできない
 Wireshark Display Filter Reference http://www.wireshark.org/docs/dfref/
 キャプチャからのデータ抽出が目的なら  NetworkMinor が便利 パケット キャプチャと同時に自動的に  ファイル抽出を行ってくれる PCAP ファイルを読み込ませて抽出させる  こともできる 入手は :  http://ww...
 NetworkMinor   を利用したファイル抽出
Pakeana 06
Upcoming SlideShare
Loading in...5
×

Pakeana 06

2,520

Published on

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
2,520
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
21
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Pakeana 06

  1. 1. Wireshark とその他のツール hebikuzure
  2. 2.  公式サイトからダウンロードしてインス トールしましょう http://www.wireshark.org/
  3. 3.  最新バージョンを利用しましょう • セキュリティ修正が含まれます • 古いバージョンは攻撃対象になります • 現在の最新版は 1.6.4 (11/18 リリース) 環境では同梱の WinPcap を利用 Windows しましょう
  4. 4. 4.1 以降のバージョンでは NPF WinPcap サービスが自動起動に設定されます • [管理者として実行] しなくてもパケット キャプ チャができます • 自動起動で問題がある場合は、以下のレジストリ キーで設定が変更できます HKLMSYSTEMCurrentControlSetservices NPFStart  0x1 : SERVICE_SYSTEM_START  0x2 : SERVICE_AUTO_START  0x3 : SERVICE_DEMAND_START
  5. 5.  How To Set Up a Capture http://wiki.wireshark.org/CaptureSetup Security http://wiki.wireshark.org/Security Platform-Specific information about capture privileges http://wiki.wireshark.org/CaptureSetup/Cap turePrivileges
  6. 6.  Wireshark User‘s Guide http://www.wireshark.org/docs/ wsug_html_chunked/ Wireshark Wiki http://wiki.wireshark.org/FrontPage Wireshark University http://www.wiresharktraining.com/
  7. 7.  実践 パケット解析――Wiresharkを使った トラブルシューティング • http://www.oreilly.co.jp/books/9784873113517/ • ISBN978-4-87311-351-7
  8. 8.  Wireshark の Export 機能を利用する NetworkMiner を利用する 手作業で頑張る
  9. 9.  [File] – [Export] – [Objects] • HTTP, SMB, DICOM に対応
  10. 10. As], [Save All] でオブジェクトを [Save ファイルとして保存できます
  11. 11. – [Export] – [Objects] – [HTTP] [File] “Save As” または “Save All” でHTTP コン テンツを取り出す
  12. 12. – [Export] – [Objects] – [HTTP] [File] “Save As” でHTTP コンテンツとしてビデ オ ファイルを取り出す Video で再生されているので、抽 HTML5 出したファイルはそのまま mp4 動画とし て再生できる
  13. 13.  Twitter クライアントの通信データのキャ プチャ ファイル [File] – [Export] – [Objects] – [HTTP] ファイルとしての抽出は可能だが、内容は JSON なので、そのままでは簡単に読み取 れない • アプリケーション レベルでのデータ再構成が必要
  14. 14.  FTP なので Export は利用できない • Passive モードなのでポートも不定 • そこで “227 Entering Passive Mode” を探す • ファイル名はその次の FTP コマンド "Request: RETR (filename.ext)" で確認できる Passive port が指定されているので、 "tcp.port == (ポート番号)" でフィルタ • これで目的のファイルがダウンロードされているスト リームだけに絞り込める TCP Stream でデータを抽出 Follow データ形式を [Raw] にして [Save As] で保存
  15. 15.  SMTP なので Export は利用できない • データは Wireshark でリアセンブルできる • [Edit preferences] - [Protocols] - [SMTP] で "Reassemble SMTP DATA commands spanning mulitple TCP segments" をオンにしておく “SMTP” でフィルタ (必要に応じて IP アドレスでもフィルタ) サーバー レスポンスを検索 "354 Enter mail, end with "." on a line by itself"
  16. 16.  直後のクライアントからのデータ フレー ムを見つけると、フレーム詳細ペインでリ アセンブルされているフレーム番号が確認 できる 確認したフレームを選択し、フレーム詳細 ペインで “Internet Message Format” を右 クリック、[Copy] - [Bytes] - [Printable Text Only] でコピー テキスト エディタにコピーしたテキスト を貼り付けて保存
  17. 17.  ファイル サーバーに読み書きされたファイルを抽出できる(はず) 残念ながらSMB2に対応していない模様
  18. 18.  http://www.lovemytool.com/blog/2011/11/wi reshark-export-smb-objects-by-joke- snelders.html (http://goo.gl/bIvTv) http://wiki.wireshark.org/SampleCaptures (http://goo.gl/dgh89)
  19. 19.  SMB2 のストリームを見つける • smb2.read_length / smb2.write_length で フィルタすると見つけやすい 目的の Response を見つける パケット詳細のペインで SMB2->Read Response (Write Response) を展開 Read Data (Write Data) を右クリック Copy – Bytes – Binary Stream でコピー バイナリ エディタに貼り付けて保存
  20. 20. でコピーされているファイルをキャ SMB2 プチャ データから抽出します
  21. 21. ではファイルの特定部分だけ SMB/SMB2 読出し/書き込みしている場合がある ファイル コピーのような全データの読出 し/書き込みでないと完全なファイルとし ての抽出はできない
  22. 22.  Wireshark Display Filter Reference http://www.wireshark.org/docs/dfref/
  23. 23.  キャプチャからのデータ抽出が目的なら NetworkMinor が便利 パケット キャプチャと同時に自動的に ファイル抽出を行ってくれる PCAP ファイルを読み込ませて抽出させる こともできる 入手は : http://www.netresec.com/?page=NetworkM iner
  24. 24.  NetworkMinor を利用したファイル抽出
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×