目視パケット解析入門

目視パケット解析入門
目視パケット解析入門 pcap ファイルフォーマットの話 hebikuzure aka Murachi Akira
About me • 村地彰 aka hebikuzure • http://www.murachi.net/ • http://www.hebikuzure.com/ • https://hebikuzure.wordpress.com/ • Microsoft MVP(Internet Explorer)Apr. 2011 ～ 2015/3/27 2ネットワークパケットを読む会 (仮)
パケット解析 •Wireshark が無かったら •その他アナライザーが無かったら 2015/3/27 ネットワークパケットを読む会 (仮) 3
パケット解析 – 最後の手段 •キャプチャファイルの生データを目視で解析 •目pakeana 2015/3/27 ネットワークパケットを読む会 (仮) 4
そのために… •キャプチャファイルのデータ構造を理解する 2015/3/27 ネットワークパケットを読む会 (仮) 5 重要
pcap ファイルのデータ構造 •pcap.h で定義 • WinPcap のソース https://www.winpcap.org/docs/docs_412/html/ incs_2pcap_8h_source.html 2015/3/27 ネットワークパケットを読む会 (仮) 6
pcap ファイルの構造 2015/3/27 ネットワークパケットを読む会 (仮) 7 pcap_file_header pcap_pkthdr packet data pcap_pkthdr packet data pcap_pkthdr packet data ……… ～
pcap_file_header bpf_u_int32 magic u_short version_major Libpcap major version. u_short version_minor Libpcap minor version. bpf_int32 thiszone gmt to local correction bpf_u_int32 sigfigs accuracy of timestamps bpf_u_int32 snaplen max length saved portion of each pkt bpf_u_int32 linktype data link type (LINKTYPE_*) 2015/3/27 ネットワークパケットを読む会 (仮) 8
pcap_pkthdr 2015/3/27 ネットワークパケットを読む会 (仮) 9 struct timeval ts time stamp bpf_u_int32 caplen length of portion present bpf_u_int32 len length this packet (off wire)
pcap ファイルのデータ構造 2015/3/27 ネットワークパケットを読む会 (仮) 10 0 1 2 3 4 5 6 7 8 9 A B C D E F D4 C3 B2 A1 02 00 04 00 00 00 00 00 00 00 00 00 00 00 04 00 01 00 00 00 9B 55 13 55 3B 67 05 00 0B 01 00 00 0B 01 00 00 F8 72 EA 99 72 81 00 06 0000 0000 0000 0000 : 0030 : 0000 : 0010 : 0020 frame #1 pcap_pkthdr caplen pcap_pkthdr len actuial frame data distination MAC source MAC snaplen linktype ts pcap_file_header pcap_file_header frame #1 magic version_major version_minor thiszone sigfigs ……… ～
DEMO 2015/3/27 ネットワークパケットを読む会 (仮) 11
Any Question? 2015/3/27 ネットワークパケットを読む会 (仮) 12

Check these out next

目視パケット解析入門

Recommended

More Related Content

Slideshows for you(20)

Similar to 目視パケット解析入門(20)

More from 彰村地(20)

Recently uploaded(20)