Wireshark入門(3)

Wireshark入門(3)
キャプチャからのファイル抽出 2015/1/29 改定版 Murachi Akira aka hebikuzure
実践パケット解析――Wiresharkを使ったトラブルシューティング • http://www.oreilly.co.jp/books/9784873113517/ • ISBN978-4-87311-351-7 2015/1/29ネットワークパケットを読む会(仮) 2
公式サイトからダウンロードしてインストールしましょう http://www.wireshark.org/ 2015/1/29ネットワークパケットを読む会(仮) 3
最新バージョンを利用しましょう • セキュリティ修正が含まれます • 古いバージョンは攻撃対象になります • 現在の最新版は 1.12.3 (2015/1/7 リリース) Windows 環境では同梱の WinPcap を利用しましょう 2015/1/29ネットワークパケットを読む会(仮) 4
WinPcap 4.1 以降のバージョンでは NPF サービスが自動起動に設定されます • [管理者として実行] しなくてもパケットキャプチャができます • 自動起動で問題がある場合は、以下のレジストリキーで設定が変更できます HKLMSYSTEMCurrentControlSetservices NPFStart  0x1 : SERVICE_SYSTEM_START  0x2 : SERVICE_AUTO_START  0x3 : SERVICE_DEMAND_START 2015/1/29ネットワークパケットを読む会(仮) 5
How To Set Up a Capture http://wiki.wireshark.org/CaptureSetup Security http://wiki.wireshark.org/Security Platform-Specific information about capture privileges http://wiki.wireshark.org/CaptureSetup/Cap turePrivileges 2015/1/29ネットワークパケットを読む会(仮) 6
Wireshark の Export 機能を利用する NetworkMiner を利用する 手作業で頑張る 2015/1/29ネットワークパケットを読む会(仮) 7
[File] – [Export] – [Objects] • HTTP, SMB, DICOM に対応 2015/1/29ネットワークパケットを読む会(仮) 8
[Save As], [Save All] でオブジェクトをファイルとして保存できます 2015/1/29ネットワークパケットを読む会(仮) 9
2015/1/29ネットワークパケットを読む会(仮) 10
[File] – [Export] – [Objects] – [HTTP] “Save As” または “Save All” でHTTP コンテンツを取り出す 2015/1/29ネットワークパケットを読む会(仮) 11
[File] – [Export] – [Objects] – [HTTP] “Save As” でHTTP コンテンツとしてビデオファイルを取り出す HTML5 Video で再生されているので、抽出したファイルはそのまま mp4 動画として再生できる 2015/1/29ネットワークパケットを読む会(仮) 12
Twitter クライアントの通信データのキャプチャファイル [File] – [Export] – [Objects] – [HTTP] ファイルとしての抽出は可能だが、内容は JSON なので、そのままでは簡単に読み取れない • アプリケーションレベルでのデータ再構成が必要 2015/1/29ネットワークパケットを読む会(仮) 13
 FTP なので Export は利用できない • Passive モードなのでポートも不定 • そこで “227 Entering Passive Mode” を探す • ファイル名はその次の FTP コマンド "Request: RETR (filename.ext)" で確認できる  Passive port が指定されているので、 "tcp.port == (ポート番号)" でフィルタ • これで目的のファイルがダウンロードされているストリームだけに絞り込める  Follow TCP Stream でデータを抽出  データ形式を [Raw] にして [Save As] で保存 2015/1/29ネットワークパケットを読む会(仮) 14
SMTP なので Export は利用できない • データは Wireshark でリアセンブルできる • [Edit preferences] - [Protocols] - [SMTP] で "Reassemble SMTP DATA commands spanning mulitple TCP segments" をオンにしておく “smtp” でフィルタ (必要に応じて IP アドレスでもフィルタ) サーバーレスポンスを検索 "354 Enter mail, end with "." on a line by itself" 2015/1/29ネットワークパケットを読む会(仮) 15
直後のクライアントからのデータフレームを見つけると、フレーム詳細ペインでリアセンブルされているフレーム番号が確認できる 確認したフレームを選択し、フレーム詳細ペインで “Internet Message Format” を右クリック、[Copy] - [Bytes] - [Printable Text Only] でコピー テキストエディタにコピーしたテキストを貼り付けて保存 2015/1/29ネットワークパケットを読む会(仮) 16
ファイルサーバーに読み書きされたファイルを抽出できる（はず） SMB2 にも対応しました 2015/1/29ネットワークパケットを読む会(仮) 17
http://www.lovemytool.com/blog/2011/11/wi reshark-export-smb-objects-by-joke- snelders.html (http://goo.gl/bIvTv) http://wiki.wireshark.org/SampleCaptures (http://goo.gl/dgh89) 2015/1/29ネットワークパケットを読む会(仮) 18
SMB/SMB ではファイルの特定部分だけ読出し/書き込みしている場合がある ファイルコピーのような全データの読出し/書き込みでないと完全なファイルとしての抽出はできない 2015/1/29ネットワークパケットを読む会(仮) 19
Wireshark Display Filter Reference http://www.wireshark.org/docs/dfref/ 2015/1/29ネットワークパケットを読む会(仮) 20
キャプチャからのデータ抽出が目的なら NetworkMinor が便利 パケットキャプチャと同時に自動的にファイル抽出を行ってくれる PCAP ファイルを読み込ませて抽出させることもできる 入手は : http://www.netresec.com/?page=NetworkM iner 2015/1/29ネットワークパケットを読む会(仮) 21
NetworkMinor を利用したファイル抽出 2015/1/29ネットワークパケットを読む会(仮) 22
2015/1/29ネットワークパケットを読む会(仮) 23
Wireshark User‘s Guide http://www.wireshark.org/docs/ wsug_html_chunked/ Wireshark Wiki http://wiki.wireshark.org/FrontPage Wireshark University http://www.wiresharktraining.com/ 2015/1/29ネットワークパケットを読む会(仮) 24

Check these out next

Wireshark入門(3)

Recommended

More Related Content

Slideshows for you(20)

Viewers also liked(6)

Similar to Wireshark入門(3)(9)

More from 彰村地(20)

Recently uploaded(20)