Advertisement
フレッシャーズのためのパケット解析入門
Apr. 19, 2013•0 likes•6,410 views
5 likes
Be the first to like this
Show More
views
Total views
0
On Slideshare
0
From embeds
0
Number of embeds
0
Report
Technology
第14回「ネットワークパケットを読む会(仮)」・「フレッシャーズのためのパケット解析入門」の発表スライド
彰 村地Follow
IT スペシャリスト at 株式会社シーピーエスAdvertisement
フレッシャーズのためのパケット解析入門
- フレッシャーズのた めの パケット解析入門 2013年4月19日 第14回「ネットワーク パケットを読む会 (仮)」
- About me • 村地 彰(aka hebikuzure) – 株式会社シーピーエス 代表取締役 – Twitter : @hebikuzure – Facebook : https://www.facebook.com/amurachi – Web site : http://www.hebikuzure.com/ – Blog : http://hebikuzure.wordpress.com/ – Mail : セミプロに駆逐されるプロという構図 2013/4/8 2 勉強会
- 「パケット」とは何? • パケット通信方式における情報の伝送単 位 じゃ、「パケット通信方式」っ て何? • 連続データを一定量ずつ蓄積して1個の伝 送単位にして、伝送路の空いているタイ ミングで送出、受信したデータを元の連 続データに復元する方式
- つまりこういうこと? • 連続データ • パケット
- パケット解析とは 1. パケットをキャプチャする 2. キャプチャしたパケットを上位のプ ロトコルごとにその内容を解析する – プロトコル自体の解析 – 最終的にやりとりされるアプリケー ション データの解析
- パケット キャプチャとは • パケット1つ1つに含まれるデータを 記録する • パケットに含まれるデータ – 送信先 – 送信元 – サイズ(パケット長) – データの種類(上位プロトコル)
- キャプチャされる場所 アプリケーション層 プレゼンテーション 層 セッション層 トランスポート層 ネットワーク層 データリンク層 物理層
- 別の見方 アプリケーション層 トランスポート層 インターネット層 リンク層
- パケット キャプチャの手法 パケットをキャプチャする場所 対象デバイス内 対象デバイス外 パケットをキャプチャする方法 ハードウェア ソフトウェア
- 対象デバイス外でのキャプチャ • ミラー ポート • タップ • プロキシやゲートウェイでのキャプ チャ • 通信の対向側(サーバー側)での キャプチャ
- 対象デバイス内でのキャプチャ • オペレーティング システムに付属する ツールを利用する – Linux / Unix 環境なら tcpdump • オペレーティング システム ベンダー提供 のツールを利用する – Windows 環境なら netcap / Network Monitor • サードパーティのツールを利用する – Wireshark / OmniPeek / NetworkMiner
- ツールにもいろいろある • コマンドライン ツール – tcpdump, netcap, tshark(Wireshark のコマンド 版)など – 動作が軽快、バッチ処理などに向く • GUI ツール – Wireshark, Network Monitor, OmniPeek, NetworkMiner など – 設定が分かりやすい、結果がすぐに確認でき る – その場で解析が可能
- ダウンロード リンク • Wireshark – http://www.wireshark.org/ • Microsoft Network Monitor – http://www.microsoft.com/en- us/download/details.aspx?id=4865 • NetworkMiner – http://www.netresec.com/?page=NetworkMiner
- データの形式 • キャプチャ データの保存形式はさま ざま – キャプチャする環境 – 利用するツール • 良く利用される形式 –libpcap 形式(拡張子 pcap) –Wireshark 新形式(拡張子 pcapng) –Network Monitor 形式(拡張子 cap)
- どんなデータが記録されるのか • パケット全体のバイナリ データ • 記録した時刻 • キャプチャしたインターフェイス • トラフィックを発生させたプロセス
- DEMO • Wireshark を使ったパケット キャプ チャ
- DEMO • Network Monitor を使ったパケット キャプ チャ
- DEMO • NetworkMiner を使ったパケット キャプ チャ
- パケット解析 • 基本的にはツールを利用 – Wireshark / Network Monitor / OmniPeek / NetworkMiner などなど • 力技で独自解析 – pcap などのフォーマットは公開されて いるので、独自にバイナリ解析
- DEMO • Wireshark を使ったパケット解析
- DEMO • Network Monitor を使ったパケット解析
- DEMO • NetworkMiner を使ったパケット解析
- おすすめ参考書 • 実践 パケット解析 – http://www.oreilly.co.jp/books/9784873115696/ • パケットキャプチャ入門 – http://www.ric.co.jp/book/contents/book_875.html • パケットキャプチャ実践技術 – http://www.ric.co.jp/book/contents/book_796.html • 現場で使えるパケット解析テクニック – http://ascii.asciimw.jp/books/books/detail/978-4- 7561-5018-9.shtml
Advertisement