Wireshark とその他のツール
hebikuzure

 公式サイトからダウンロードしてインス
トールしましょう
 http://www.wireshark.org/

 最新バージョンを利用しましょう
• セキュリティ修正が含まれます
• 古いバージョンは攻撃対象になります
• 現在の最新版は 1.6.4 (11/18 リリース)
環境では同梱の WinPcap を利用
 Windows
しましょう

4.1 以降のバージョンでは NPF
 WinPcap
サービスが自動起動に設定されます
• [管理者として実行] しなくてもパケット キャプ
チャができます
• 自動起動で問題がある場合は、以下のレジストリ
キーで設定が変更できます
HKLMSYSTEMCurrentControlSetservices
NPFStart
 0x1 : SERVICE_SYSTEM_START
 0x2 : SERVICE_AUTO_START
 0x3 : SERVICE_DEMAND_START

 How To Set Up a Capture
http://wiki.wireshark.org/CaptureSetup
 Security
http://wiki.wireshark.org/Security
 Platform-Specific information about
capture privileges
http://wiki.wireshark.org/CaptureSetup/Cap
turePrivileges

 Wireshark User‘s Guide
http://www.wireshark.org/docs/
wsug_html_chunked/
 Wireshark Wiki
http://wiki.wireshark.org/FrontPage
 Wireshark University
http://www.wiresharktraining.com/

 実践
パケット解析――Wiresharkを使った
トラブルシューティング
• http://www.oreilly.co.jp/books/9784873113517/
• ISBN978-4-87311-351-7

 Wireshark の Export 機能を利用する
 NetworkMiner を利用する
 手作業で頑張る

 [File] – [Export] – [Objects]
• HTTP, SMB, DICOM に対応

As], [Save All] でオブジェクトを
 [Save
ファイルとして保存できます

– [Export] – [Objects] – [HTTP]
 [File]
 “Save As” または “Save All” でHTTP コン
テンツを取り出す

– [Export] – [Objects] – [HTTP]
 [File]
 “Save As” でHTTP コンテンツとしてビデ
オ ファイルを取り出す
Video で再生されているので、抽
 HTML5
出したファイルはそのまま mp4 動画とし
て再生できる

 Twitter クライアントの通信データのキャ
プチャ ファイル
 [File] – [Export] – [Objects] – [HTTP]
 ファイルとしての抽出は可能だが、内容は
JSON なので、そのままでは簡単に読み取
れない
• アプリケーション レベルでのデータ再構成が必要

 FTP なので Export は利用できない
• Passive モードなのでポートも不定
• そこで “227 Entering Passive Mode” を探す
• ファイル名はその次の FTP コマンド
"Request: RETR (filename.ext)" で確認できる
 Passive port が指定されているので、
"tcp.port == (ポート番号)" でフィルタ
• これで目的のファイルがダウンロードされているスト
リームだけに絞り込める
TCP Stream でデータを抽出
 Follow
 データ形式を [Raw] にして [Save As] で保存

 SMTP なので Export は利用できない
• データは Wireshark でリアセンブルできる
• [Edit preferences] - [Protocols] - [SMTP] で
"Reassemble SMTP DATA commands spanning
mulitple TCP segments" をオンにしておく
 “SMTP”
でフィルタ
(必要に応じて IP アドレスでもフィルタ)
 サーバー レスポンスを検索
"354 Enter mail, end with "." on a line by itself"

 直後のクライアントからのデータ フレー
ムを見つけると、フレーム詳細ペインでリ
アセンブルされているフレーム番号が確認
できる
 確認したフレームを選択し、フレーム詳細
ペインで “Internet Message Format” を右
クリック、[Copy] - [Bytes] - [Printable Text
Only] でコピー
 テキスト エディタにコピーしたテキスト
を貼り付けて保存

 ファイル
サーバーに読み書きされたファ
イルを抽出できる（はず）
 残念ながらSMB2に対応していない模様

 http://www.lovemytool.com/blog/2011/11/wi
reshark-export-smb-objects-by-joke-
snelders.html
(http://goo.gl/bIvTv)
 http://wiki.wireshark.org/SampleCaptures
(http://goo.gl/dgh89)

 SMB2 のストリームを見つける
• smb2.read_length / smb2.write_length で
フィルタすると見つけやすい
 目的の Response を見つける
 パケット詳細のペインで
SMB2->Read Response (Write Response)
を展開
 Read Data (Write Data) を右クリック
 Copy – Bytes – Binary Stream でコピー
 バイナリ エディタに貼り付けて保存

でコピーされているファイルをキャ
 SMB2
プチャ データから抽出します

ではファイルの特定部分だけ
 SMB/SMB2
読出し/書き込みしている場合がある
 ファイル コピーのような全データの読出
し/書き込みでないと完全なファイルとし
ての抽出はできない

 Wireshark Display Filter Reference
http://www.wireshark.org/docs/dfref/

 キャプチャからのデータ抽出が目的なら
NetworkMinor が便利
 パケット キャプチャと同時に自動的に
ファイル抽出を行ってくれる
 PCAP ファイルを読み込ませて抽出させる
こともできる
 入手は :
http://www.netresec.com/?page=NetworkM
iner

 NetworkMinor を利用したファイル抽出