Hokkaido.cap#7 ケーススタディ(セキュリティ解析:前編)

2,092 views

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
2,092
On SlideShare
0
From Embeds
0
Number of Embeds
9
Actions
Shares
0
Downloads
78
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Hokkaido.cap#7 ケーススタディ(セキュリティ解析:前編)

  1. 1. ケーススタディ(セキュリティ解析 – 前編) Hokkaido.cap #7 2011.10.21 Masayuki YAMAKI
  2. 2. 今日の目標• ネットワークセキュリティに関するシナリオを体 Wireshark 験し、これらのパケットがWiresharkでどのよう に見えるか確認しましょう。• 解析作業をとおして「ディスプレイフィルタ」の使 い方を覚えましょう。 2
  3. 3. 前回までのおさらい• これまでの資料を以下のURLで公開しています。 (USBメモリにも収録しています) Wiresharkを初めて使う方は参照しながら進め てみてください。 http://www.slideshare.net/eightroll• 操作方法がわからない場合は、遠慮せずにど んどん質問してください。 3
  4. 4. 今日の進め方• 「実践パケット解析 第9章 ケーススタディ (セキュリティ解析)」の内容をベースに進めま す。本書をお持ちの方は演習に合わせて参照 してください。 (スライドには概要のみ記載しています)• 気付いた点やわからない点があれば自由に ディスカッションしましょう。 4
  5. 5. 演習資料- セキュリティ解析(前編) - 5
  6. 6. OSのフィンガープリント (1/3)• サンプルファイル : osfingerprinting.pcap• ICMP通信が記録されているキャプチャファイル ICMP - 一般的には使用されない 「Timestamp request」 「Timestamp reply」 「Address mask request」 「Information request」 などが記録されている。 6
  7. 7. OSのフィンガープリント (2/3)• OS Finger Print とは OS - 標的ホストのOSを推測する方法の一つ。 - OSごとのTCP/IPの実装に関する特徴(TCPの 初期シーケンス番号やFINパケットに関する 応答、ICMPのメッセージなど)から、OSの種 類を推測する。 7
  8. 8. OSのフィンガープリント (3/3)• ディスプレイフィルタを適用 icmp.type == 13 || icmp.type == 15 || icmp.type == 17 8
  9. 9. 参考 : ICMP タイプ一覧タイプ 説明 タイプ 説明 0 エコー応答 (Echo Reply) 13 タイムスタンプ 3 宛先到達不能 (Timestamp) (Destination Unreachable) 14 タイムスタンプ応答 4 発信元抑制 (Source Quench) (Timestamp Reply) 5 リダイレクト (Redirect) 15 インフォメーション要求 (Information Request) 8 エコー要求 (Echo Request) 16 インフォメーション応答 9 ルータ通知 (Information Reply) (Router Advertisement) 17 アドレスマスク要求10 ルータ要求 (Router Solicitation) (Address Mask Request)11 時間超過 (Time Exceeded) 18 アドレスマスク応答12 パラメータ問題 (Address Mask Reply) (Parameter Problem) http://www.iana.org/assignments/icmp-parameters/icmp-parameters.xml 9
  10. 10. ポートスキャン (1/1)• サンプルファイル : portscan.pcap• ポートスキャン(通信可能なTCP、UDPのポート を探す)の一部を抜粋したキャプチャファイル - Telnet、microsoft-ds、FTP、SMTPなど攻撃がしやす いポートに対して行われることが多い。 10
  11. 11. 参考 : ポートスキャンの種類• 代表的なポートスキャナ「nmap」を使用した例 - TCP SYN スキャン : nmap_SYN_scan.pcap » nmap -sS -A -v <hostname> - TCP SYN スキャン (All TCP ports) : nmap_SYN-All_scan.pcap » nmap -sS -p 1-65535 -A -v <hostname> - TCP FIN スキャン : nmap_FIN_scan.pcap » nmap -sF -A -v <hostname> - UDP スキャン : nmap_UDP_scan.pcap » nmap -sU -A -v <hostname> 11
  12. 12. プリンタの氾濫 (1/2)• サンプルファイル : printerproblem.pcap• プリンタからおかしなものが印刷される - プリンタサーバでキャプチャを開始。 - プリンタサーバ(10.100.16.15)は特定のクライアント (10.100.17.47)から大量にSPOOLパケットを受信し ている。 12
  13. 13. プリンタの氾濫 (2/2)• TCP Stream を見ると、送信されているデータが Microsoft Word文書でユーザー名がcsandersで あることがわかる。 13
  14. 14. FTPサーバへの侵入 (1/3)• サンプルファイル : ftp-crack.pcap• FTP FTPサーバへの大量トラフィック - よく見ると認証に何度も失敗している 14
  15. 15. FTPサーバへの侵入 (2/3)• ディスプレイフィルタを適用 ftp.request.command == “USER” || ftp.request.command == "PASS" 15
  16. 16. FTPサーバへの侵入 (3/3)• アルファベット順にパスワードを試していることか ら、辞書攻撃で探っていることがわかる。 16
  17. 17. まとめと参考資料 17
  18. 18. この演習のまとめ• フィンガープリントやポートスキャンやなどの不 正侵入を試みる通信が、Wiresharkでどのよう に見えるか確認しました。• 大量のキャプチャデータから目的のパケットを 絞り込む方法「ディスプレイフィルタ」の使い方 を学びました。• 次回も引き続きセキュリティ解析のケースを学 習しましょう。 18
  19. 19. 参考資料• 実践パケット解析 - Wiresharkを使ったトラブル シューティング - http://www.oreilly.co.jp/books/9784873113517/ - ISBN978-4-87311-351-7• ICMPを使って対象サイトのOSを特定する「Xprobe」 - http://itpro.nikkeibp.co.jp/members/ITPro/SEC_CHECK/20010921/1/• Nmap - Free Security Scanner For Network Exploration & Security Audits. - http://nmap.org/ 19

×