Wireshark入門(4)

1. Wireshark は「覗き見ソフト」なのか 2015/2/23 Murachi Akira aka hebikuzure This material provided by CC BY-NC-ND 4.0. See http://creativecommons.org/licenses/by-nc-nd/4.0/

2. 公式サイトからダウンロードしてインストールしましょう http://www.wireshark.org/ 2015/2/23ネットワークパケットを読む会(仮) 2

3. 最新バージョンを利用しましょう • セキュリティ修正が含まれます • 古いバージョンは攻撃対象になります • 現在の最新版は 1.12.3 (2015/1/7 リリース) Windows 環境では同梱の WinPcap を利用しましょう 2015/2/23ネットワークパケットを読む会(仮) 3

4. WinPcap 4.1 以降のバージョンでは NPF サービスが自動起動に設定されます • [管理者として実行] しなくてもパケットキャプチャができます • 自動起動で問題がある場合は、以下のレジストリキーで設定が変更できます HKLMSYSTEMCurrentControlSetservices NPFStart  0x1 : SERVICE_SYSTEM_START  0x2 : SERVICE_AUTO_START  0x3 : SERVICE_DEMAND_START 2015/2/23ネットワークパケットを読む会(仮) 4

5. How To Set Up a Capture http://wiki.wireshark.org/CaptureSetup Security http://wiki.wireshark.org/Security Platform-Specific information about capture privileges http://wiki.wireshark.org/CaptureSetup/Cap turePrivileges 2015/2/23ネットワークパケットを読む会(仮) 5

6. Wireshark User‘s Guide http://www.wireshark.org/docs/ wsug_html_chunked/ Wireshark Wiki http://wiki.wireshark.org/FrontPage Wireshark University http://www.wiresharktraining.com/ 2015/2/23ネットワークパケットを読む会(仮) 6

7. 2015/2/23ネットワークパケットを読む会(仮) 7 http://blog.livedoor.jp/ninji/archives/42761250.html

8. 2015/2/23ネットワークパケットを読む会(仮) 8 http://dictionary.goo.ne.jp/leaf/jn2/171940/m0u/

9. 2015/2/23ネットワークパケットを読む会(仮) 9 http://dictionary.goo.ne.jp/leaf/jn2/171943/m0u/

10. 装置を用いて物体を見る ひそかにようすをうかがう。また、隠しごとや秘密にしている物などをこっそりと見る。 2015/2/23ネットワークパケットを読む会(仮) 10

11. Wireshark は 「ひそかに」「こっそりと」 『隠しごとや秘密にしている』情報を 相手に知られる事なく見ることができるのか 2015/2/23ネットワークパケットを読む会(仮) 11

12. Wireshark で 「ひそかに」「こっそりと」 他人が『隠している』『秘密にしている』通信のパケットを 相手に知られる事なくキャプチャー / 解析できるのか 2015/2/23ネットワークパケットを読む会(仮) 12

13.  Wireshark で「覗き見」ができるとしても、それを目的としたソフトウェアでないことは自明です  その上で、Wireshark で「覗き見」と呼ぶに相応しいことができるのか、できるとしたらどのようなことができるのか、を考えてみました  発表内容を実際に実行することを推奨するものではありません。また実際に実行した場合に法令に基づき処罰される可能性が無いことを保証するものではありません。 2015/2/23ネットワークパケットを読む会(仮) 13

14. 2015/2/23ネットワークパケットを読む会(仮) 14 アプリケーション層プレゼンテーション層セッション層トランスポート層ネットワーク層データリンク層物理層アプリケーション層トランスポート層インターネット層ネットワークインターフェイス層 OSI 参照モデル TCP/IP PCAPの動作層

15. PCAP (libpcap / WinPcap) • パケットキャプチャーモジュール • 実際にパケットを取り出しているのはこちら Wireshrak • パケット解析ツール • PCAP でキャプチャーされたデータを解析して可視化、ファイル化 2015/2/23ネットワークパケットを読む会(仮) 15

16. libpcap • Unix / Linux 系システム用の実装 • ディストリビューションに含まれているか、リポジトリからインストール可能 • http://www.tcpdump.org/ WinPcap • libpcap の Windows への移植版 • Wireshark と同時にインストールされる • http://www.winpcap.org/ 2015/2/23ネットワークパケットを読む会(仮) 16

17. リピータハブの場合 • コリジョンドメイン内には同じデータが送られる • NIC をプロミスキャスモードにするだけ 2015/2/23ネットワークパケットを読む会(仮) 17

18. スイッチングハブの場合 • 宛先が接続されているポート以外にトラフィックが流れないのでキャプチャーできない 2015/2/23ネットワークパケットを読む会(仮) 18

19. ミラーポート付きハブを使う タップを挿入する • 自分が管理しているネットワークでなければ物理的なクラッキング ARP キャッシュポイゾニング 送信元 / 送信先クライアントでエージェントを動作させる • 送信元 / 送信先クライアントのユーザー (管理者) の承諾なしに動作させるとクラッキング 2015/2/23ネットワークパケットを読む会(仮) 19

20. I-O DATA BX-MR1 http://www.iodata.jp/product/lan/hub/bx-mr/ Allied Telesis CentreCOM FS808TP V1 https://www.allied- telesis.co.jp/products/list/switch/fs808tpv1/ catalog.html 2015/2/23ネットワークパケットを読む会(仮) 20

21. 愛三の取り扱い製品 http://www.aisan.co.jp/products/network- tap.html Net Optics 社 http://www.netoptics.jp/製品/%20ネットワーク・タップ 2015/2/23ネットワークパケットを読む会(仮) 21

22. 「ひそかに」「こっそりと」他人が『隠している』『秘密にしている』通信のパケットを相手に知られる事なくキャプチャー / 解析できる ただし「覗き見」というよりはれっきとした「盗聴」 2015/2/23ネットワークパケットを読む会(仮) 22

23. 手法として「ARPスプーフィング」とも言う ARP のリクエストに対して偽装した応答を返し、本来の宛先 (例えばデフォルトゲートウェイ) に成り済ます 例えばデフォルトゲートウェイに成り済ませば、外部への通信をすべてキャプチャーできる 2015/2/23ネットワークパケットを読む会(仮) 23

24. WinPcap の Remote Capture を使う SSH などでリモート接続して tcpdump を起動、ローカル側に出力させる その他のエージェントをインストールする 2015/2/23ネットワークパケットを読む会(仮) 24

25. WinPcap にはリモートキャプチャーサービスが同梱されている • %ProgramFiles(x86)% WinPcap rpcapd.exe • ソースからコンパイルすれば Unix / Linux でも可 参考 • https://www.winpcap.org/docs/docs_40_2/html/gro up__remote.html • http://kinshachi.ddo.jp/blog/comp/archives/000841 .html 2015/2/23ネットワークパケットを読む会(仮) 25

26. [Capture] – [Options] – [Manage Interface] [Remote Interface] タブに切り替えて [Add] [Host] と [Port] を設定 2015/2/23ネットワークパケットを読む会(仮) 26

27. % touch tmp.pcap % tail -f tmp.pcap | wireshark -k -S -i – % ssh -C (hostname) 'sudo tcpdump -U -n -i eth0 -w -' > tmp.pcap • http://qiita.com/k- kawa@github/items/7bade882a91ace367878 • http://blogs.yahoo.co.jp/nickname_say2/35637694 .html 2015/2/23ネットワークパケットを読む会(仮) 27

28. 無線 LAN の場合 • 電波は飛んでいるので受信可能 • 暗号化されている場合がある 2015/2/23ネットワークパケットを読む会(仮) 28

29. Windows 環境では WinPcap でモニターモードのキャプチャーができない • 回避策: AirPcap を使う 暗号化されているとそのままでは解析できない • 回避策その1: 暗号を解読する • 回避策その2: Man in the middle する 2015/2/23ネットワークパケットを読む会(仮) 29

30. Riverbed AirPcap http://www.riverbed.com/products/performa nce-management-control/network- performance-management/wireless- packet-capture.html • 難点: 高い (a/b/n/g フルサポート版は $698) • 値段だけなら安い Linux マシンを用意した方が… 2015/2/23ネットワークパケットを読む会(仮) 30

31. 一般的な公衆 Wifi で利用される WPA/PSK の場合、Wifi に接続すればテンポラリーキーが取得でき、キーが取得できれば解読できる WEP はパスフレーズが分かっていれば解読できる 自分が接続できるアクセスポイントの通信は解読可能 2015/2/23ネットワークパケットを読む会(仮) 31

32. アクセスポイントを作りそこに接続させる 特別な工夫なしに通信内容をすべてキャプチャー可能 2015/2/23ネットワークパケットを読む会(仮) 32 http://www.asahi.com/articles/ASH2541Y3H25PTIL00B.html

33. 無線 LAN の傍受や MITM 有線 LAN ではARP キャッシュポイゾニング いずれも「ひそかに」「こっそりと」キャプチャーできる 2015/2/23ネットワークパケットを読む会(仮) 33

34. Wireshark は「覗き見」に使える ただし…… Wireshark は「覗き見」ソフトか? ⇒ No 道具を悪用するのは人の「罪」 2015/2/23ネットワークパケットを読む会(仮) 34

Wireshark入門(4)

You are reading a preview.

Wireshark入門(4)

More Related Content

Viewers also liked

Similar to Wireshark入門(4)

More from 彰村地

Featured

Related Books

Related Audiobooks