Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Pakeana 06

  • Be the first to comment

Pakeana 06

  1. 1. Wireshark とその他のツール hebikuzure
  2. 2.  公式サイトからダウンロードしてインス トールしましょう http://www.wireshark.org/
  3. 3.  最新バージョンを利用しましょう • セキュリティ修正が含まれます • 古いバージョンは攻撃対象になります • 現在の最新版は 1.6.4 (11/18 リリース) 環境では同梱の WinPcap を利用 Windows しましょう
  4. 4. 4.1 以降のバージョンでは NPF WinPcap サービスが自動起動に設定されます • [管理者として実行] しなくてもパケット キャプ チャができます • 自動起動で問題がある場合は、以下のレジストリ キーで設定が変更できます HKLMSYSTEMCurrentControlSetservices NPFStart  0x1 : SERVICE_SYSTEM_START  0x2 : SERVICE_AUTO_START  0x3 : SERVICE_DEMAND_START
  5. 5.  How To Set Up a Capture http://wiki.wireshark.org/CaptureSetup Security http://wiki.wireshark.org/Security Platform-Specific information about capture privileges http://wiki.wireshark.org/CaptureSetup/Cap turePrivileges
  6. 6.  Wireshark User‘s Guide http://www.wireshark.org/docs/ wsug_html_chunked/ Wireshark Wiki http://wiki.wireshark.org/FrontPage Wireshark University http://www.wiresharktraining.com/
  7. 7.  実践 パケット解析――Wiresharkを使った トラブルシューティング • http://www.oreilly.co.jp/books/9784873113517/ • ISBN978-4-87311-351-7
  8. 8.  Wireshark の Export 機能を利用する NetworkMiner を利用する 手作業で頑張る
  9. 9.  [File] – [Export] – [Objects] • HTTP, SMB, DICOM に対応
  10. 10. As], [Save All] でオブジェクトを [Save ファイルとして保存できます
  11. 11. – [Export] – [Objects] – [HTTP] [File] “Save As” または “Save All” でHTTP コン テンツを取り出す
  12. 12. – [Export] – [Objects] – [HTTP] [File] “Save As” でHTTP コンテンツとしてビデ オ ファイルを取り出す Video で再生されているので、抽 HTML5 出したファイルはそのまま mp4 動画とし て再生できる
  13. 13.  Twitter クライアントの通信データのキャ プチャ ファイル [File] – [Export] – [Objects] – [HTTP] ファイルとしての抽出は可能だが、内容は JSON なので、そのままでは簡単に読み取 れない • アプリケーション レベルでのデータ再構成が必要
  14. 14.  FTP なので Export は利用できない • Passive モードなのでポートも不定 • そこで “227 Entering Passive Mode” を探す • ファイル名はその次の FTP コマンド "Request: RETR (filename.ext)" で確認できる Passive port が指定されているので、 "tcp.port == (ポート番号)" でフィルタ • これで目的のファイルがダウンロードされているスト リームだけに絞り込める TCP Stream でデータを抽出 Follow データ形式を [Raw] にして [Save As] で保存
  15. 15.  SMTP なので Export は利用できない • データは Wireshark でリアセンブルできる • [Edit preferences] - [Protocols] - [SMTP] で "Reassemble SMTP DATA commands spanning mulitple TCP segments" をオンにしておく “SMTP” でフィルタ (必要に応じて IP アドレスでもフィルタ) サーバー レスポンスを検索 "354 Enter mail, end with "." on a line by itself"
  16. 16.  直後のクライアントからのデータ フレー ムを見つけると、フレーム詳細ペインでリ アセンブルされているフレーム番号が確認 できる 確認したフレームを選択し、フレーム詳細 ペインで “Internet Message Format” を右 クリック、[Copy] - [Bytes] - [Printable Text Only] でコピー テキスト エディタにコピーしたテキスト を貼り付けて保存
  17. 17.  ファイル サーバーに読み書きされたファイルを抽出できる(はず) 残念ながらSMB2に対応していない模様
  18. 18.  http://www.lovemytool.com/blog/2011/11/wi reshark-export-smb-objects-by-joke- snelders.html (http://goo.gl/bIvTv) http://wiki.wireshark.org/SampleCaptures (http://goo.gl/dgh89)
  19. 19.  SMB2 のストリームを見つける • smb2.read_length / smb2.write_length で フィルタすると見つけやすい 目的の Response を見つける パケット詳細のペインで SMB2->Read Response (Write Response) を展開 Read Data (Write Data) を右クリック Copy – Bytes – Binary Stream でコピー バイナリ エディタに貼り付けて保存
  20. 20. でコピーされているファイルをキャ SMB2 プチャ データから抽出します
  21. 21. ではファイルの特定部分だけ SMB/SMB2 読出し/書き込みしている場合がある ファイル コピーのような全データの読出 し/書き込みでないと完全なファイルとし ての抽出はできない
  22. 22.  Wireshark Display Filter Reference http://www.wireshark.org/docs/dfref/
  23. 23.  キャプチャからのデータ抽出が目的なら NetworkMinor が便利 パケット キャプチャと同時に自動的に ファイル抽出を行ってくれる PCAP ファイルを読み込ませて抽出させる こともできる 入手は : http://www.netresec.com/?page=NetworkM iner
  24. 24.  NetworkMinor を利用したファイル抽出

×