Successfully reported this slideshow.

Wireshark入門(3)

22

Share

Upcoming SlideShare
Wireshark入門(4)
Wireshark入門(4)
Loading in …3
×
1 of 24
1 of 24

More Related Content

Related Books

Free with a 14 day trial from Scribd

See all

Wireshark入門(3)

  1. 1. キャプチャからのファイル抽出 2015/1/29 改定版 Murachi Akira aka hebikuzure
  2. 2. 実践 パケット解析――Wiresharkを使った トラブルシューティング • http://www.oreilly.co.jp/books/9784873113517/ • ISBN978-4-87311-351-7 2015/1/29ネットワーク パケットを読む会(仮) 2
  3. 3. 公式サイトからダウンロードしてインス トールしましょう http://www.wireshark.org/ 2015/1/29ネットワーク パケットを読む会(仮) 3
  4. 4. 最新バージョンを利用しましょう • セキュリティ修正が含まれます • 古いバージョンは攻撃対象になります • 現在の最新版は 1.12.3 (2015/1/7 リリース) Windows 環境では同梱の WinPcap を利用 しましょう 2015/1/29ネットワーク パケットを読む会(仮) 4
  5. 5. WinPcap 4.1 以降のバージョンでは NPF サービスが自動起動に設定されます • [管理者として実行] しなくてもパケット キャプ チャができます • 自動起動で問題がある場合は、以下のレジストリ キーで設定が変更できます HKLMSYSTEMCurrentControlSetservices NPFStart  0x1 : SERVICE_SYSTEM_START  0x2 : SERVICE_AUTO_START  0x3 : SERVICE_DEMAND_START 2015/1/29ネットワーク パケットを読む会(仮) 5
  6. 6. How To Set Up a Capture http://wiki.wireshark.org/CaptureSetup Security http://wiki.wireshark.org/Security Platform-Specific information about capture privileges http://wiki.wireshark.org/CaptureSetup/Cap turePrivileges 2015/1/29ネットワーク パケットを読む会(仮) 6
  7. 7. Wireshark の Export 機能を利用する NetworkMiner を利用する 手作業で頑張る 2015/1/29ネットワーク パケットを読む会(仮) 7
  8. 8. [File] – [Export] – [Objects] • HTTP, SMB, DICOM に対応 2015/1/29ネットワーク パケットを読む会(仮) 8
  9. 9. [Save As], [Save All] でオブジェクトを ファイルとして保存できます 2015/1/29ネットワーク パケットを読む会(仮) 9
  10. 10. 2015/1/29ネットワーク パケットを読む会(仮) 10
  11. 11. [File] – [Export] – [Objects] – [HTTP] “Save As” または “Save All” でHTTP コン テンツを取り出す 2015/1/29ネットワーク パケットを読む会(仮) 11
  12. 12. [File] – [Export] – [Objects] – [HTTP] “Save As” でHTTP コンテンツとしてビデ オ ファイルを取り出す HTML5 Video で再生されているので、抽 出したファイルはそのまま mp4 動画とし て再生できる 2015/1/29ネットワーク パケットを読む会(仮) 12
  13. 13. Twitter クライアントの通信データのキャ プチャ ファイル [File] – [Export] – [Objects] – [HTTP] ファイルとしての抽出は可能だが、内容は JSON なので、そのままでは簡単に読み取 れない • アプリケーション レベルでのデータ再構成が必要 2015/1/29ネットワーク パケットを読む会(仮) 13
  14. 14.  FTP なので Export は利用できない • Passive モードなのでポートも不定 • そこで “227 Entering Passive Mode” を探す • ファイル名はその次の FTP コマンド "Request: RETR (filename.ext)" で確認できる  Passive port が指定されているので、 "tcp.port == (ポート番号)" でフィルタ • これで目的のファイルがダウンロードされているスト リームだけに絞り込める  Follow TCP Stream でデータを抽出  データ形式を [Raw] にして [Save As] で保存 2015/1/29ネットワーク パケットを読む会(仮) 14
  15. 15. SMTP なので Export は利用できない • データは Wireshark でリアセンブルできる • [Edit preferences] - [Protocols] - [SMTP] で "Reassemble SMTP DATA commands spanning mulitple TCP segments" をオンにしておく “smtp” でフィルタ (必要に応じて IP アドレスでもフィルタ) サーバー レスポンスを検索 "354 Enter mail, end with "." on a line by itself" 2015/1/29ネットワーク パケットを読む会(仮) 15
  16. 16. 直後のクライアントからのデータ フレー ムを見つけると、フレーム詳細ペインでリ アセンブルされているフレーム番号が確認 できる 確認したフレームを選択し、フレーム詳細 ペインで “Internet Message Format” を右 クリック、[Copy] - [Bytes] - [Printable Text Only] でコピー テキスト エディタにコピーしたテキスト を貼り付けて保存 2015/1/29ネットワーク パケットを読む会(仮) 16
  17. 17. ファイル サーバーに読み書きされたファ イルを抽出できる(はず) SMB2 にも対応しました 2015/1/29ネットワーク パケットを読む会(仮) 17
  18. 18. http://www.lovemytool.com/blog/2011/11/wi reshark-export-smb-objects-by-joke- snelders.html (http://goo.gl/bIvTv) http://wiki.wireshark.org/SampleCaptures (http://goo.gl/dgh89) 2015/1/29ネットワーク パケットを読む会(仮) 18
  19. 19. SMB/SMB ではファイルの特定部分だけ読 出し/書き込みしている場合がある ファイル コピーのような全データの読出 し/書き込みでないと完全なファイルとし ての抽出はできない 2015/1/29ネットワーク パケットを読む会(仮) 19
  20. 20. Wireshark Display Filter Reference http://www.wireshark.org/docs/dfref/ 2015/1/29ネットワーク パケットを読む会(仮) 20
  21. 21. キャプチャからのデータ抽出が目的なら NetworkMinor が便利 パケット キャプチャと同時に自動的に ファイル抽出を行ってくれる PCAP ファイルを読み込ませて抽出させる こともできる 入手は : http://www.netresec.com/?page=NetworkM iner 2015/1/29ネットワーク パケットを読む会(仮) 21
  22. 22. NetworkMinor を利用したファイル抽出 2015/1/29ネットワーク パケットを読む会(仮) 22
  23. 23. 2015/1/29ネットワーク パケットを読む会(仮) 23
  24. 24. Wireshark User‘s Guide http://www.wireshark.org/docs/ wsug_html_chunked/ Wireshark Wiki http://wiki.wireshark.org/FrontPage Wireshark University http://www.wiresharktraining.com/ 2015/1/29ネットワーク パケットを読む会(仮) 24

×