1. Windowsのパケットモニタ作成
レイヤ２で動作するプログラムの魅力と、snifferの動作概要
@furuya02
copyright© 2011/03.. by SAPPOROWORKS

2. 自己紹介
 ハンドル SIN／古谷誠進
 Twitter @furuya02
 仕事 某社でシステムサポートみたいな
 住居 札幌
 年齢 アラフィフ
「45歳以上54歳まで（ by ウィキペディア）」
copyright© 2011/03.. by SAPPOROWORKS

3. もっとも手ごろなアプローチ
WinPcap + C#
 WinPcap 最新はVer4.1.2
Wiresharkのインストール時に同時にインストールされます
C:¥Windows¥System32¥drivers¥npf.sys
C:¥Windows¥Syste32¥wpcap.dll
C:¥Windows¥Syste32¥Packet.dll
(64ビット版は、C:¥Windows¥SysWOW64¥)
 Visual C# 2010
Express Editionは無料で利用可能です
http://www.microsoft.com/japan/msdn/vstudio/express/
copyright© 2011/03.. by SAPPOROWORKS

4. WinPcapと作成するプログラムの関係
wpcap.dllがエクスポートする関数を使ってC#でプログラムする
C#プログラム アプリケーション
システム非依存ライブラリ
ユーザモード
wpcap.dll
ローレベルライブラリ
WinPcap
Packet.dll
ネットワークパケットフィルタ
npf.sys
カーネルモード
NICドライバ
パケット ネットワーク
copyright© 2011/03.. by SAPPOROWORKS

5. C#からDLLを使用するには
DLLでエクスポートされている関数をDllImport属性で定義するだけ
D:¥work>dumpbin wpcap.dll /exports
Microsoft (R) COFF/PE Dumper Version 10.00.30319.01
Copyright (C) Microsoft Corporation. All rights reserved.
Dump of file wpcap.dll
File Type: DLL
Section contains the following exports for wpcap.dll
00000000 characteristics
4C24DE12 time date stamp Sat Jun 26 01:49:22 2010 //pcap.h
ordinal hint RVA name int pcap_findalldevs(
pcap_if_t **,
1 0 00001000 bpf_dump
2 1 000010E0 bpf_filter char *);
・・・・
29 1C 000021E0 pcap_findalldevs 通
訳
//winpcap.cs
[DllImport(“wpcap.dll”）]
private static extern int pcap_findalldevs(
ref IntPtr alldevsp,
StringBuilder errbuf); copyright© 2011/03.. by SAPPOROWORKS

6. 作業手順
ステップ3までは、wpcap.dllのエクスポート関数を呼び出すだけ
ステップ１ wpcal.dll
NICの一覧取得 pcap_findalldevs()
ステップ２ wpcap.dll
NICのオープン pcap_open()
ステップ３ wpcap.dll
パケット取得 pcap_next_ex()
ステップ４ 受け取ったパケット情報
パケット解析 を人間が分かるように
表示する
copyright© 2011/03.. by SAPPOROWORKS

7. パケット解析（ＭＡＣ）
先頭から１２オクテットは、送信先及び送信元のMACアドレス
00000000 : 00 a0 b0 da b9 13 00 1f d0 d0 12 17 08 00 45 00
00000001 : 00 34 0f 21 40 00 80 06 00 00 c0 a8 00 0a 41 37
00000002 : e3 98 d4 63 00 50 3f 18 fa 55 00 00 00 00 80 02
00000003 : 20 00 e5 a8 00 00 02 04 05 b4 01 03 03 02 01 01
00000004 : 04 02
送信先 ﾊｰﾄﾞｳｴｱｱﾄﾞﾚｽ : 00-a0-b0-da-b9-13 (I-O DATA DEVICE)
送信元 ﾊｰﾄﾞｳｴｱｱﾄﾞﾚｽ : 00-1f-d0-d0-12-17 (GIGA-BYTE TECHNOLOGY CO.,LTD. )
IEEE STANDARDS ASSOCIATION ( MACベンダーの検索 )
http://standards.ieee.org/develop/regauth/oui/public.html
copyright© 2011/03.. by SAPPOROWORKS

8. パケット解析（フレーム判別）
次の２オクテットでフレームの種類を判別
2種類のEthernetフレームを判別する
プロトコルタイプは1500(0x05DC)以上、Ethernetのデータの最大長は1500（05DCh）
00000000 : 00 a0 b0 da b9 13 00 1f d0 d0 12 17 08 00 45 00
00000001 : 00 34 0f 21 40 00 80 06 00 00 c0 a8 00 0a 41 37
00000002 : e3 98 d4 63 00 50 3f 18 fa 55 00 00 00 00 80 02 プロトコルタイプ
0x0800 IP
00000003 : 20 00 e5 a8 00 00 02 04 05 b4 01 03 03 02 01 01
0x0806 ARP
00000004 : 04 02 0x8035 RARP
0x0840 NetBIOS
0x8137 IPX
ﾌﾟﾛﾄｺﾙ ﾀｲﾌﾟ : 0x0800 (IP) など
EthernetⅡのフレーム構造（DEC,インテル,ゼロックスが作成した標準でDIX規格とも呼ばれる)
送り先 送り元
プロトコル データ本体 CRC
MACアドレス MACアドレス
2オクテット 45～1500オクテット 4オクテット
6オクテット 6オクテット
Ethernet802.3のフレーム構造（IEEE802.3がその後に標準化した広い意味での「802.3Raw」)
送り先 送り元
データ長 データ本体 CRC
MACアドレス MACアドレス
2オクテット 45～1500オクテット 4オクテット
6オクテット 6オクテット

9. パケット解析（ＩＰヘッダ）
IPヘッダを解析
00000000 : 00 a0 b0 da b9 13 00 1f d0 d0 12 17 08 00 45 00
00000001 : 00 34 0f 21 40 00 80 06 00 00 c0 a8 00 0a 41 37
00000002 : e3 98 d4 63 00 50 3f 18 fa 55 00 00 00 00 80 02
00000003 : 20 00 e5 a8 00 00 02 04 05 b4 01 03 03 02 01 01
ﾊﾞｰｼﾞｮﾝ : 4 00000004 : 04 02
ﾍｯﾀﾞ長 : 20
ｻｰﾋﾞｽ ﾀｲﾌﾟ : 0x00
全ﾃﾞｰﾀ長 : 0x0034 (52) IPヘッダの後ろに32オクテットデータがある プロトコル番号
識別子 : 0xF21 0x06 TCP
ﾌﾗｸﾞﾒﾝﾄ : 0x4000 (未使用:0 分割丌可:1 後続:0 ｵﾌｾｯﾄ:0) など
生存時間 : 0x80 (128)
ﾌﾟﾛﾄｺﾙ : 0x06 (TCP Transmission Control [RFC793,JBP])
ﾁｪｯｸｻﾑ : 0x0000
送信元 IPｱﾄﾞﾚｽ : 192.168.0.10
送信先 IPｱﾄﾞﾚｽ : 65.55.227.152
IPヘッダ構造
バージョン データ長 タイプ 全データ長 識別子 フラグ オフセット
4オクテット 4オクテット 8オクテット 16オクテット 16オクテット 3オクテット 13オクテット
TTL プロトコル番号 チェックサム 送信元IPアドレス 送信先IPアドレス
8オクテット 8オクテット 16オクテット 32オクテット 32オクテット

10. パケット解析（ＴＣＰヘッダ）
TCPヘッダを解析
00000000 : 00 a0 b0 da b9 13 00 1f d0 d0 12 17 08 00 45 00
00000001 : 00 34 0f 21 40 00 80 06 00 00 c0 a8 00 0a 41 37
00000002 : e3 98 d4 63 00 50 3f 18 fa 55 00 00 00 00 80 02
00000003 : 20 00 e5 a8 00 00 02 04 05 b4 01 03 03 02 01 01
00000004 : 04 02
送信元ﾎﾟｰﾄ番号 : 0xD463 (54371)
送信先ﾎﾟｰﾄ番号 : 0x0050 (80) HTTP ポート番号
ｼｰｹﾝｽ番号 : 0x3F18FA55 (1058601557 ) 21 FTP
応答番号 : 0x0000 (0) 22 SSH
ﾍｯﾀﾞ長 : 0x08 (32 ｵｸﾃｯﾄ) もう後ろにデータはない 23 TELNET
ﾌﾗｸﾞ : 0x0002 (URG:0 ACK:0 PSH:0 RST:0 SYN:1 FIN:0) 53 DNS
ｳｲﾝﾄﾞｳｻｲｽﾞ : 0x2000 (8192) 80 HTTP
ﾁｪｯｸｻﾑ : 0xE5A8 110 POP3
緊急ﾎﾟｲﾝﾀ : 0x0000 (0) など
ｵﾌﾟｼｮﾝ : 0x000C (12 ｵｸﾃｯﾄ)
TCPヘッダ構造
送信元ポート 送信先ポート シーケンス番号 応答番号
16オクテット 16オクテット 32オクテット 32オクテット
ヘッダ長 予約 フラグ ウインドウサイズ 緊急ポインタ オプション
4オクテット 6オクテット 6オクテット 16オクテット 16オクテット xxオクテット

11. WinPcapでパケット送信も可能
L2SW（HUB）を超えたければL2まで実装する必要がある
[DllImport ("wpcap.dll”)]
private static extern int pcap_sendpacket(
IntPtr adaptHandle,
IntPtr data,
int size);
 送・受信の両方を実装する場合、パケットの構造は自由
※HUBを超えたければ、先頭１４バイトまでは正確に実装が必要
 送信側のみ作成する場合は、TCP/IPプロトコルを正確に実装しな
いと受信側のプロトコルスタックが反応できない
copyright© 2011/03.. by SAPPOROWORKS

12. L2レベルのツール作成とは・・・
通常のネットワークプログラムと違い、レイア２でのツール作成が可能になると・・・
 ping 192.168.0.100 -l 77 特定のサイズのICMPで反応する
 Listenしないサーバプログラム
 独自のプロトコル（TCP/IP以外）を実装してWiresharkで捕捉されな
い通信プログラム
 ブロードキャストを監視して、丌正な接続をアラートする
 サブネットを間違えている端末を検出
 arp監視で無断で設置されたゲートウエイを検出
copyright© 2011/03.. by SAPPOROWORKS

13. サンプルプログラムとスライドを下記に置きました
興味を持っていただけた場合は、ぜひご利用ください。
http://www.sapporoworks.ne.jp/session/2011.05.20/
@furuya02
copyright© 2011/03.. by SAPPOROWORKS