Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Wireshark入門(4)

61,522 views

Published on

第25回「ネットワークパケットを読む会 (仮)」のセッション用スライドです

Published in: Technology
  • Be the first to comment

Wireshark入門(4)

  1. 1. Wireshark は「覗き見ソフト」なのか 2015/2/23 Murachi Akira aka hebikuzure This material provided by CC BY-NC-ND 4.0. See http://creativecommons.org/licenses/by-nc-nd/4.0/
  2. 2. 公式サイトからダウンロードしてインス トールしましょう http://www.wireshark.org/ 2015/2/23ネットワーク パケットを読む会(仮) 2
  3. 3. 最新バージョンを利用しましょう • セキュリティ修正が含まれます • 古いバージョンは攻撃対象になります • 現在の最新版は 1.12.3 (2015/1/7 リリース) Windows 環境では同梱の WinPcap を利用 しましょう 2015/2/23ネットワーク パケットを読む会(仮) 3
  4. 4. WinPcap 4.1 以降のバージョンでは NPF サービスが自動起動に設定されます • [管理者として実行] しなくてもパケット キャプ チャができます • 自動起動で問題がある場合は、以下のレジストリ キーで設定が変更できます HKLMSYSTEMCurrentControlSetservices NPFStart  0x1 : SERVICE_SYSTEM_START  0x2 : SERVICE_AUTO_START  0x3 : SERVICE_DEMAND_START 2015/2/23ネットワーク パケットを読む会(仮) 4
  5. 5. How To Set Up a Capture http://wiki.wireshark.org/CaptureSetup Security http://wiki.wireshark.org/Security Platform-Specific information about capture privileges http://wiki.wireshark.org/CaptureSetup/Cap turePrivileges 2015/2/23ネットワーク パケットを読む会(仮) 5
  6. 6. Wireshark User‘s Guide http://www.wireshark.org/docs/ wsug_html_chunked/ Wireshark Wiki http://wiki.wireshark.org/FrontPage Wireshark University http://www.wiresharktraining.com/ 2015/2/23ネットワーク パケットを読む会(仮) 6
  7. 7. 2015/2/23ネットワーク パケットを読む会(仮) 7 http://blog.livedoor.jp/ninji/archives/42761250.html
  8. 8. 2015/2/23ネットワーク パケットを読む会(仮) 8 http://dictionary.goo.ne.jp/leaf/jn2/171940/m0u/
  9. 9. 2015/2/23ネットワーク パケットを読む会(仮) 9 http://dictionary.goo.ne.jp/leaf/jn2/171943/m0u/
  10. 10. 装置を用いて物体を見る ひそかにようすをうかがう。 また、隠しごとや秘密にしている物などを こっそりと見る。 2015/2/23ネットワーク パケットを読む会(仮) 10
  11. 11. Wireshark は 「ひそかに」「こっそりと」 『隠しごとや秘密にしている』情報を 相手に知られる事なく見ることができるのか 2015/2/23ネットワーク パケットを読む会(仮) 11
  12. 12. Wireshark で 「ひそかに」「こっそりと」 他人が『隠している』『秘密にしている』 通信のパケットを 相手に知られる事なくキャプチャー / 解析 できるのか 2015/2/23ネットワーク パケットを読む会(仮) 12
  13. 13.  Wireshark で「覗き見」ができるとしても、それを 目的としたソフトウェアでないことは自明です  その上で、Wireshark で「覗き見」と呼ぶに相応 しいことができるのか、できるとしたらどのよ うなことができるのか、を考えてみました  発表内容を実際に実行することを推奨するもの ではありません。また実際に実行した場合に法 令に基づき処罰される可能性が無いことを保証 するものではありません。 2015/2/23ネットワーク パケットを読む会(仮) 13
  14. 14. 2015/2/23ネットワーク パケットを読む会(仮) 14 アプリケーション層 プレゼンテーション層 セッション層 トランスポート層 ネットワーク層 データリンク層 物理層 アプリケーション 層 トランスポート層 インターネット層 ネットワーク インターフェイス層 OSI 参照モデル TCP/IP PCAPの動作層
  15. 15. PCAP (libpcap / WinPcap) • パケット キャプチャー モジュール • 実際にパケットを取り出しているのはこちら Wireshrak • パケット解析ツール • PCAP でキャプチャーされたデータを解析して可 視化、ファイル化 2015/2/23ネットワーク パケットを読む会(仮) 15
  16. 16. libpcap • Unix / Linux 系システム用の実装 • ディストリビューションに含まれているか、リポ ジトリからインストール可能 • http://www.tcpdump.org/ WinPcap • libpcap の Windows への移植版 • Wireshark と同時にインストールされる • http://www.winpcap.org/ 2015/2/23ネットワーク パケットを読む会(仮) 16
  17. 17. リピータハブの場合 • コリジョン ドメイン内には同じデータが送られる • NIC をプロミスキャスモードにするだけ 2015/2/23ネットワーク パケットを読む会(仮) 17
  18. 18. スイッチング ハブの場合 • 宛先が接続されているポート以外にトラフィック が流れないのでキャプチャーできない 2015/2/23ネットワーク パケットを読む会(仮) 18
  19. 19. ミラー ポート付きハブを使う タップを挿入する • 自分が管理しているネットワークでなければ物理 的なクラッキング ARP キャッシュ ポイゾニング 送信元 / 送信先クライアントでエージェン トを動作させる • 送信元 / 送信先クライアントのユーザー (管理者) の承諾なしに動作させるとクラッキング 2015/2/23ネットワーク パケットを読む会(仮) 19
  20. 20. I-O DATA BX-MR1 http://www.iodata.jp/product/lan/hub/bx-mr/ Allied Telesis CentreCOM FS808TP V1 https://www.allied- telesis.co.jp/products/list/switch/fs808tpv1/ catalog.html 2015/2/23ネットワーク パケットを読む会(仮) 20
  21. 21. 愛三の取り扱い製品 http://www.aisan.co.jp/products/network- tap.html Net Optics 社 http://www.netoptics.jp/製品/%20ネット ワーク・タップ 2015/2/23ネットワーク パケットを読む会(仮) 21
  22. 22. 「ひそかに」「こっそりと」他人が『隠し ている』『秘密にしている』通信のパケッ トを相手に知られる事なくキャプチャー / 解析できる ただし「覗き見」というよりはれっきとし た「盗聴」 2015/2/23ネットワーク パケットを読む会(仮) 22
  23. 23. 手法として「ARPスプーフィング」とも言う ARP のリクエストに対して偽装した応答 を返し、本来の宛先 (例えばデフォルト ゲートウェイ) に成り済ます 例えばデフォルト ゲートウェイに成り済 ませば、外部への通信をすべてキャプ チャーできる 2015/2/23ネットワーク パケットを読む会(仮) 23
  24. 24. WinPcap の Remote Capture を使う SSH などでリモート接続して tcpdump を 起動、ローカル側に出力させる その他のエージェントをインストールする 2015/2/23ネットワーク パケットを読む会(仮) 24
  25. 25. WinPcap にはリモート キャプチャー サー ビスが同梱されている • %ProgramFiles(x86)% WinPcap rpcapd.exe • ソースからコンパイルすれば Unix / Linux でも可 参考 • https://www.winpcap.org/docs/docs_40_2/html/gro up__remote.html • http://kinshachi.ddo.jp/blog/comp/archives/000841 .html 2015/2/23ネットワーク パケットを読む会(仮) 25
  26. 26. [Capture] – [Options] – [Manage Interface] [Remote Interface] タブに切り替えて [Add] [Host] と [Port] を設定 2015/2/23ネットワーク パケットを読む会(仮) 26
  27. 27. % touch tmp.pcap % tail -f tmp.pcap | wireshark -k -S -i – % ssh -C (hostname) 'sudo tcpdump -U -n -i eth0 -w -' > tmp.pcap • http://qiita.com/k- kawa@github/items/7bade882a91ace367878 • http://blogs.yahoo.co.jp/nickname_say2/35637694 .html 2015/2/23ネットワーク パケットを読む会(仮) 27
  28. 28. 無線 LAN の場合 • 電波は飛んでいるので受信可能 • 暗号化されている場合がある 2015/2/23ネットワーク パケットを読む会(仮) 28
  29. 29. Windows 環境では WinPcap でモニター モードのキャプチャーができない • 回避策: AirPcap を使う 暗号化されているとそのままでは解析でき ない • 回避策その1: 暗号を解読する • 回避策その2: Man in the middle する 2015/2/23ネットワーク パケットを読む会(仮) 29
  30. 30. Riverbed AirPcap http://www.riverbed.com/products/performa nce-management-control/network- performance-management/wireless- packet-capture.html • 難点: 高い (a/b/n/g フルサポート版は $698) • 値段だけなら安い Linux マシンを用意した方が… 2015/2/23ネットワーク パケットを読む会(仮) 30
  31. 31. 一般的な公衆 Wifi で利用される WPA/PSK の場合、Wifi に接続すればテンポラリー キーが取得でき、キーが取得できれば解読 できる WEP はパスフレーズが分かっていれば解 読できる 自分が接続できるアクセスポイントの通信 は解読可能 2015/2/23ネットワーク パケットを読む会(仮) 31
  32. 32. アクセスポイントを作りそこに接続させる 特別な工夫なしに通信内容をすべてキャプ チャー可能 2015/2/23ネットワーク パケットを読む会(仮) 32 http://www.asahi.com/articles/ASH2541Y3H25PTIL00B.html
  33. 33. 無線 LAN の傍受や MITM 有線 LAN ではARP キャッシュ ポイゾニン グ いずれも「ひそかに」「こっそりと」キャ プチャーできる 2015/2/23ネットワーク パケットを読む会(仮) 33
  34. 34. Wireshark は「覗き見」に使える ただし…… Wireshark は「覗き見」ソフトか? ⇒ No 道具を悪用するのは人の「罪」 2015/2/23ネットワーク パケットを読む会(仮) 34

×