Successfully reported this slideshow.

フレッシャーズのためのパケット解析入門

5

Share

Loading in …3
×
1 of 23
1 of 23

フレッシャーズのためのパケット解析入門

5

Share

第14回「ネットワークパケットを読む会(仮)」・「フレッシャーズのためのパケット解析入門」の発表スライド

第14回「ネットワークパケットを読む会(仮)」・「フレッシャーズのためのパケット解析入門」の発表スライド

More Related Content

Related Books

Free with a 14 day trial from Scribd

See all

フレッシャーズのためのパケット解析入門

  1. 1. フレッシャーズのた めの パケット解析入門 2013年4月19日 第14回「ネットワーク パケットを読む会 (仮)」
  2. 2. About me • 村地 彰(aka hebikuzure) – 株式会社シーピーエス 代表取締役 – Twitter : @hebikuzure – Facebook : https://www.facebook.com/amurachi – Web site : http://www.hebikuzure.com/ – Blog : http://hebikuzure.wordpress.com/ – Mail : セミプロに駆逐されるプロという構図 2013/4/8 2 勉強会
  3. 3. 「パケット」とは何? • パケット通信方式における情報の伝送単 位 じゃ、「パケット通信方式」っ て何? • 連続データを一定量ずつ蓄積して1個の伝 送単位にして、伝送路の空いているタイ ミングで送出、受信したデータを元の連 続データに復元する方式
  4. 4. つまりこういうこと? • 連続データ • パケット
  5. 5. パケット解析とは 1. パケットをキャプチャする 2. キャプチャしたパケットを上位のプ ロトコルごとにその内容を解析する – プロトコル自体の解析 – 最終的にやりとりされるアプリケー ション データの解析
  6. 6. パケット キャプチャとは • パケット1つ1つに含まれるデータを 記録する • パケットに含まれるデータ – 送信先 – 送信元 – サイズ(パケット長) – データの種類(上位プロトコル)
  7. 7. キャプチャされる場所 アプリケーション層 プレゼンテーション 層 セッション層 トランスポート層 ネットワーク層 データリンク層 物理層
  8. 8. 別の見方 アプリケーション層 トランスポート層 インターネット層 リンク層
  9. 9. パケット キャプチャの手法 パケットをキャプチャする場所 対象デバイス内 対象デバイス外 パケットをキャプチャする方法 ハードウェア ソフトウェア
  10. 10. 対象デバイス外でのキャプチャ • ミラー ポート • タップ • プロキシやゲートウェイでのキャプ チャ • 通信の対向側(サーバー側)での キャプチャ
  11. 11. 対象デバイス内でのキャプチャ • オペレーティング システムに付属する ツールを利用する – Linux / Unix 環境なら tcpdump • オペレーティング システム ベンダー提供 のツールを利用する – Windows 環境なら netcap / Network Monitor • サードパーティのツールを利用する – Wireshark / OmniPeek / NetworkMiner
  12. 12. ツールにもいろいろある • コマンドライン ツール – tcpdump, netcap, tshark(Wireshark のコマンド 版)など – 動作が軽快、バッチ処理などに向く • GUI ツール – Wireshark, Network Monitor, OmniPeek, NetworkMiner など – 設定が分かりやすい、結果がすぐに確認でき る – その場で解析が可能
  13. 13. ダウンロード リンク • Wireshark – http://www.wireshark.org/ • Microsoft Network Monitor – http://www.microsoft.com/en- us/download/details.aspx?id=4865 • NetworkMiner – http://www.netresec.com/?page=NetworkMiner
  14. 14. データの形式 • キャプチャ データの保存形式はさま ざま – キャプチャする環境 – 利用するツール • 良く利用される形式 –libpcap 形式(拡張子 pcap) –Wireshark 新形式(拡張子 pcapng) –Network Monitor 形式(拡張子 cap)
  15. 15. どんなデータが記録されるのか • パケット全体のバイナリ データ • 記録した時刻 • キャプチャしたインターフェイス • トラフィックを発生させたプロセス
  16. 16. DEMO • Wireshark を使ったパケット キャプ チャ
  17. 17. DEMO • Network Monitor を使ったパケット キャプ チャ
  18. 18. DEMO • NetworkMiner を使ったパケット キャプ チャ
  19. 19. パケット解析 • 基本的にはツールを利用 – Wireshark / Network Monitor / OmniPeek / NetworkMiner などなど • 力技で独自解析 – pcap などのフォーマットは公開されて いるので、独自にバイナリ解析
  20. 20. DEMO • Wireshark を使ったパケット解析
  21. 21. DEMO • Network Monitor を使ったパケット解析
  22. 22. DEMO • NetworkMiner を使ったパケット解析
  23. 23. おすすめ参考書 • 実践 パケット解析 – http://www.oreilly.co.jp/books/9784873115696/ • パケットキャプチャ入門 – http://www.ric.co.jp/book/contents/book_875.html • パケットキャプチャ実践技術 – http://www.ric.co.jp/book/contents/book_796.html • 現場で使えるパケット解析テクニック – http://ascii.asciimw.jp/books/books/detail/978-4- 7561-5018-9.shtml

×