Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Hokkaido.cap#8 ケーススタディ(セキュリティ解析:後編)

2,169 views

Published on

  • Be the first to comment

  • Be the first to like this

Hokkaido.cap#8 ケーススタディ(セキュリティ解析:後編)

  1. 1. ケーススタディ(セキュリティ解析 – 後編) Hokkaido.cap #8 2011.11.25 Masayuki YAMAKI
  2. 2. 今日の目標• ネットワークセキュリティに関するシナリオを体 Wireshark 験し、これらのパケットがWiresharkでどのよう に見えるか確認しましょう。• 解析作業をとおしてWiresharkの使い方を覚え ましょう。 2
  3. 3. 前回までのおさらい• これまでの資料を以下のURLで公開しています。 (USBメモリにも収録しています) Wiresharkを初めて使う方は参照しながら進め てみてください。 http://www.slideshare.net/eightroll• 操作方法がわからない場合は、遠慮せずにど んどん質問してください。 3
  4. 4. 今日の進め方• 「実践パケット解析 第9章 ケーススタディ (セキュリティ解析)」の内容をベースに進めま す。本書をお持ちの方は演習に合わせて参照 してください。 (スライドには概要のみ記載しています)• サンプルとして、追加でいくつかのパケットを添 付しています。• 気付いた点やわからない点があれば自由に ディスカッションしましょう。 4
  5. 5. 演習資料- セキュリティ解析(後編) - 5
  6. 6. Blasterワーム (1/2)• サンプルファイル : blaster.pcap• PCを起動すると60秒後にシャットダウンされる PC 60• 1793番と4444番ポートを使って他のPCと通信 - 他のPCでは見られない動き 6
  7. 7. Blasterワーム (2/2)• バイナリ部分に注目する - 2番目のパケット : C:¥WINNT¥system32 へのアクセス - 4番目のパケット : msblast.exe の文字列(その他の見分け方については書籍の「監訳注」を参照) 7
  8. 8. 隠された情報 (1/2)• サンプルファイル : covertinfo.pcap• あなたはネットワークのセキュリティ管理者になっ たつもりで疑わしい社員の通信を監視 - まずはディスプレイフィルタをかけて通常の業務で発 生しない通信を探す - 日中にpingのやりとりをしているのがおかしい 8
  9. 9. 隠された情報 (2/2)• バイナリを見ると、pingのデータ部を使ってやりと りしている (Loki と呼ばれる手法) 通常のpingのデータ部は aから始まる32byteの文字列 9
  10. 10. ハッカーの視点 (1/2)• サンプルファイル : hackersview.pcap• ARPキャッシュポイゾニングを使用し、ネットワー ARP ク管理者とルータの間に割り込む• ネットワーク管理者がtelnetを使ってルータと通 信しているところを捉える 10
  11. 11. ハッカーの視点 (2/2)• telnetは平文のプロトコルであるため、ユーザー IDとパスワードが簡単に読み取れる 11
  12. 12. いろんなパケットを見てみよう• slammer.pcap - SlammerワームによるDCE/RPC送信 注意 : このパケットはウィルス対策ソフトによってはワームとして検知します• dns-remoteshell.pcap - DNSポートによるリモートシェルの実行• teardrop.pcap - TearDrop 攻撃• SSH-bruteforce.pcap - SSH ブルートフォース攻撃 12
  13. 13. まとめと参考資料 13
  14. 14. この演習のまとめ• セキュリティに関するシナリオがWiresharkでど のように見えるか学びました。• 解析作業をとおしてWiresharkの使い方を学び ました。• 今回はセキュリティに関するパケットを解析して みましたが、他にもいろんなパケットを覗いてみ ると面白いかもです。 14
  15. 15. 参考資料• 実践パケット解析 - Wiresharkを使ったトラブル シューティング - http://www.oreilly.co.jp/books/9784873113517/ - ISBN978-4-87311-351-7• Wireshark.org - Sample Captures - http://wiki.wireshark.org/SampleCaptures 15
  16. 16. 16

×