Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Wireshark入門(3)

5,451 views

Published on

2015/1/29 開催「第24回ネットワーク パケットを読む会 (仮)」でのセッション スライドです。

Published in: Technology
  • Be the first to comment

Wireshark入門(3)

  1. 1. キャプチャからのファイル抽出 2015/1/29 改定版 Murachi Akira aka hebikuzure
  2. 2. 実践 パケット解析――Wiresharkを使った トラブルシューティング • http://www.oreilly.co.jp/books/9784873113517/ • ISBN978-4-87311-351-7 2015/1/29ネットワーク パケットを読む会(仮) 2
  3. 3. 公式サイトからダウンロードしてインス トールしましょう http://www.wireshark.org/ 2015/1/29ネットワーク パケットを読む会(仮) 3
  4. 4. 最新バージョンを利用しましょう • セキュリティ修正が含まれます • 古いバージョンは攻撃対象になります • 現在の最新版は 1.12.3 (2015/1/7 リリース) Windows 環境では同梱の WinPcap を利用 しましょう 2015/1/29ネットワーク パケットを読む会(仮) 4
  5. 5. WinPcap 4.1 以降のバージョンでは NPF サービスが自動起動に設定されます • [管理者として実行] しなくてもパケット キャプ チャができます • 自動起動で問題がある場合は、以下のレジストリ キーで設定が変更できます HKLMSYSTEMCurrentControlSetservices NPFStart  0x1 : SERVICE_SYSTEM_START  0x2 : SERVICE_AUTO_START  0x3 : SERVICE_DEMAND_START 2015/1/29ネットワーク パケットを読む会(仮) 5
  6. 6. How To Set Up a Capture http://wiki.wireshark.org/CaptureSetup Security http://wiki.wireshark.org/Security Platform-Specific information about capture privileges http://wiki.wireshark.org/CaptureSetup/Cap turePrivileges 2015/1/29ネットワーク パケットを読む会(仮) 6
  7. 7. Wireshark の Export 機能を利用する NetworkMiner を利用する 手作業で頑張る 2015/1/29ネットワーク パケットを読む会(仮) 7
  8. 8. [File] – [Export] – [Objects] • HTTP, SMB, DICOM に対応 2015/1/29ネットワーク パケットを読む会(仮) 8
  9. 9. [Save As], [Save All] でオブジェクトを ファイルとして保存できます 2015/1/29ネットワーク パケットを読む会(仮) 9
  10. 10. 2015/1/29ネットワーク パケットを読む会(仮) 10
  11. 11. [File] – [Export] – [Objects] – [HTTP] “Save As” または “Save All” でHTTP コン テンツを取り出す 2015/1/29ネットワーク パケットを読む会(仮) 11
  12. 12. [File] – [Export] – [Objects] – [HTTP] “Save As” でHTTP コンテンツとしてビデ オ ファイルを取り出す HTML5 Video で再生されているので、抽 出したファイルはそのまま mp4 動画とし て再生できる 2015/1/29ネットワーク パケットを読む会(仮) 12
  13. 13. Twitter クライアントの通信データのキャ プチャ ファイル [File] – [Export] – [Objects] – [HTTP] ファイルとしての抽出は可能だが、内容は JSON なので、そのままでは簡単に読み取 れない • アプリケーション レベルでのデータ再構成が必要 2015/1/29ネットワーク パケットを読む会(仮) 13
  14. 14.  FTP なので Export は利用できない • Passive モードなのでポートも不定 • そこで “227 Entering Passive Mode” を探す • ファイル名はその次の FTP コマンド "Request: RETR (filename.ext)" で確認できる  Passive port が指定されているので、 "tcp.port == (ポート番号)" でフィルタ • これで目的のファイルがダウンロードされているスト リームだけに絞り込める  Follow TCP Stream でデータを抽出  データ形式を [Raw] にして [Save As] で保存 2015/1/29ネットワーク パケットを読む会(仮) 14
  15. 15. SMTP なので Export は利用できない • データは Wireshark でリアセンブルできる • [Edit preferences] - [Protocols] - [SMTP] で "Reassemble SMTP DATA commands spanning mulitple TCP segments" をオンにしておく “smtp” でフィルタ (必要に応じて IP アドレスでもフィルタ) サーバー レスポンスを検索 "354 Enter mail, end with "." on a line by itself" 2015/1/29ネットワーク パケットを読む会(仮) 15
  16. 16. 直後のクライアントからのデータ フレー ムを見つけると、フレーム詳細ペインでリ アセンブルされているフレーム番号が確認 できる 確認したフレームを選択し、フレーム詳細 ペインで “Internet Message Format” を右 クリック、[Copy] - [Bytes] - [Printable Text Only] でコピー テキスト エディタにコピーしたテキスト を貼り付けて保存 2015/1/29ネットワーク パケットを読む会(仮) 16
  17. 17. ファイル サーバーに読み書きされたファ イルを抽出できる(はず) SMB2 にも対応しました 2015/1/29ネットワーク パケットを読む会(仮) 17
  18. 18. http://www.lovemytool.com/blog/2011/11/wi reshark-export-smb-objects-by-joke- snelders.html (http://goo.gl/bIvTv) http://wiki.wireshark.org/SampleCaptures (http://goo.gl/dgh89) 2015/1/29ネットワーク パケットを読む会(仮) 18
  19. 19. SMB/SMB ではファイルの特定部分だけ読 出し/書き込みしている場合がある ファイル コピーのような全データの読出 し/書き込みでないと完全なファイルとし ての抽出はできない 2015/1/29ネットワーク パケットを読む会(仮) 19
  20. 20. Wireshark Display Filter Reference http://www.wireshark.org/docs/dfref/ 2015/1/29ネットワーク パケットを読む会(仮) 20
  21. 21. キャプチャからのデータ抽出が目的なら NetworkMinor が便利 パケット キャプチャと同時に自動的に ファイル抽出を行ってくれる PCAP ファイルを読み込ませて抽出させる こともできる 入手は : http://www.netresec.com/?page=NetworkM iner 2015/1/29ネットワーク パケットを読む会(仮) 21
  22. 22. NetworkMinor を利用したファイル抽出 2015/1/29ネットワーク パケットを読む会(仮) 22
  23. 23. 2015/1/29ネットワーク パケットを読む会(仮) 23
  24. 24. Wireshark User‘s Guide http://www.wireshark.org/docs/ wsug_html_chunked/ Wireshark Wiki http://wiki.wireshark.org/FrontPage Wireshark University http://www.wiresharktraining.com/ 2015/1/29ネットワーク パケットを読む会(仮) 24

×