Your SlideShare is downloading. ×
Wireshark だけに頼らない! パケット解析ツールの紹介
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Wireshark だけに頼らない! パケット解析ツールの紹介

18,215
views

Published on

第18回「ネットワークパケットを読む会(仮)」勉強会の発表資料です.Wireshark 以外のパケット解析ツールについて紹介しています.

第18回「ネットワークパケットを読む会(仮)」勉強会の発表資料です.Wireshark 以外のパケット解析ツールについて紹介しています.

Published in: Internet

0 Comments
63 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
18,215
On Slideshare
0
From Embeds
0
Number of Embeds
10
Actions
Shares
0
Downloads
113
Comments
0
Likes
63
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. 2014年7月4日ネットワークパケットを読む会(仮)第18回発表資料 Wireshark だけに頼らない! パケット解析ツールの紹介 @k_morihisa
  • 2. $ whoami • 名前:森久 和昭 • Twitter:@k_morihisa • 情報セキュリティエンジニア・アナリスト
 • 趣味でハニーポットを観察してます
 
 http://www.morihi-soc.net/ ! • 第10回「ネットワークパケットを読む会(仮)」
 
 何が変わった!? Wireshark 1.8
 http://www.slideshare.net/morihisa/wireshark-18 2
  • 3. パケット好きですか?
  • 4. ご注文は Wireshark ですか? • デモ 4
  • 5. Wireshark がやられたようだな... 5
  • 6. 困った(́・ω・`) • Wireshark 自体の脆弱性を突いたパケットを
 含むファイルの解析をする場合 ! • 巨大なファイルサイズのパケット解析をする場合 ! • そもそも,GUI 環境でない場合 ! • 楽しくパケット解析したい 6
  • 7. つまり 誤:ご注文は Wireshark ですか? ! 正:ご注文はパケット解析ツールですか? 7
  • 8. 様々なパケット解析ツール • GUI編 ! • CUI編 ! • Wireshark ファミリー編 ! • おまけ 8
  • 9. GUI編 • Network Miner • Xplico 9
  • 10. Network Miner • パケットからデータ収集できるツール ! • 公式サイト
 http://www.netresec.com/?page=NetworkMiner 10
  • 11. Network Miner 11 pcapを ドラッグ&ドロップ インターフェースを指定して リアルタイムキャプチャ
  • 12. Network Miner • 抽出したファイルはフォルダに保存される • NetworkMinerAssembledFilesホスト毎 ! • 有料版もある • pcapng 形式ファイルの解析ができる • CSV/Excel でデータ出力ができる • コマンドライン版が使える 等 12
  • 13. Xplico • Web インターフェースを持つパケット解析ツール • 複数人でのトラフィックデータの共有に向いている ! • 公式サイト • http://www.xplico.org/ 13
  • 14. Xplico 14
  • 15. Xplico • インストールや使い方は wiki 参照 • http://wiki.xplico.org/ ! • デフォルトポート:9876/tcp →FW の ACL 注意 • デフォルトユーザ:admin / xplico →パスワード変更 ! • 最も簡単な使い方 1. ケースを作成 2. セッションを作成 3. pcap アップロード / リアルタイムキャプチャ 15
  • 16. Xplico • いろいろ解析してくれる • Web • Email • FTP • DNS 等 ! • 解析には負荷がかかる →巨大なファイルだと時間がかかる 16
  • 17. СUI編 • tcpdump • tcpflow • tcpslice 17
  • 18. tcpdump • パケットキャプチャといえば tcpdump ! • 公式 • http://www.tcpdump.org/ ! ! • 初心者もう使いこなしている人たちばかりだと
 思うので,今回は省略 18
  • 19. tcpflow • 送信元先 IP/port のセッションごとに分割 ! • GitHub tcpflow • https://github.com/simsong/tcpflow 19
  • 20. tcpflow • 簡単な使い方 • キャプチャファイルを読み込む $ tcpflow [-c] -r キャプチャファイル フィルタ ! • ライブキャプチャ $ tcpflow [-c] -i インターフェース フィルタ ! • 重要 • -c オプションをつけるとディスプレイ表示のみ • つけないと,セッション内容はファイルに保存 20
  • 21. tcpflow • -c オプションを忘れるとこうなる 21 \ や べ え /
  • 22. tcpslice • 時間を指定してパケットを切り出すツール ! • GitHub tcpslice • https://github.com/the-tcpdump-group/tcpslice 22
  • 23. tcpslice • 使い方 $ tcpslice -r パケットファイル →開始時間と終了時間を普通の日時で表示 ! $ tcpslice -t パケットファイル →開始時間と終了時間を ymdhmsu 方式で表示 ! $ tcpslice -d ymdhmsu +秒数 パケットファイル →開始と終了の UNIX 時間が表示 ! $ tcpslice -w 保存ファイル名 開始時間 終了時間 元ファイル →UNIX 時間で指定 23
  • 24. tcpslice • こんな感じで切り出しができます. 24
  • 25. Wireshark も使いたい
  • 26. Program Files を開いてみよう • たくさん exe がありますね. • 少しだけ紹介します. 26
  • 27. Wireshark ファミリー編 • capinfos.exe • キャプチャファイルの情報を表示 • pcap や pcapng 等の確認に役立つ ! • editcap.exe • キャプチャファイルを分割 • パケット数で分割したり,pcap - pcapng 変換 ! • mergecap.exe • キャプチャファイルを統合 27
  • 28. キャプチャプログラム使いどころ • wireshark.exe • GUI でパケットキャプチャと解析ができる ! • tshark.exe • CUI でパケットキャプチャと解析ができる ! • dumpcap.exe • CUI でパケットキャプチャできる.早い 28
  • 29. おまけ • VirusTotal • https://www.virustotal.com/ja/ • ファイルをアップロードすると,マルウェア対策 ソフトでの検出状況を確認可能 ! • キャプチャファイルも解析してくれる • Snort や Suricata といった IDS の検知状況が
 確認できる 29
  • 30. 参考 • ネットワークトラブルシューティングツール(書籍) • http://www.oreilly.co.jp/books/4873110807/ ! • SecTools • http://sectools.org/ ! • Probably the Best Free Security List in the World • http://www.techsupportalert.com/content/ probably-best-free-security-list-world.htm 30
  • 31. ありがとうございました