(^-^) togakushi, profile picture
Uploaded by(^-^) togakushi
ODP, PDF12,097 views

tcpdumpとtcpreplayとtcprewriteと他。

Embed presentation

Downloaded 69 times
tcpdump と tcpreplay と tcprewrite と他。 #ssmjp 2013/03/29 @togakushi
パケット好きですか? ● tcpdump ってコマンドで好きなだけみれま す! ● 要 root – NIC が promiscuous mode へ – 流れてきたパケットは無差別に拾うモード – 通常は自分宛てのパケットしか処理しない
切り分けに超役立つ ● ちゃんと相手から届いてるかわかる ● 誰から送られてきてるかわかる ● 暗号化されてるかわかる
インテリジェントなスイッチ ● MAC アドレスの学習 – 接続されたポートの先に何が繋がってるか知って いる – tcpdump を動かすマシンから見ると、自分宛のパ ケットしか流れてこない>< ● 気になるあの子 ( サーバ ) のパケットも見た い! (注:他人の通信を覗くのはダメですよ)
こんなこともあろうかと! ● ミラーポート – 超賢いスイッチはパケットをコピーして複数のポ ートに流せる ● タップ – 物理的に出力を 2 つに分ける
タップの仕組み 1つの送信 (TD) を 2 つの受信 (RD) に繋ぐだけ! 1:TD+ 1:TD+ HOST-B HOST-A 2:TD- 2:TD- 3:RD+ 3:RD+ 6:RD- 6:RD- 3:RD+ 6:RD- 3:RD+ 6:RD- eth0 eth1 HOST-C(tcpdump) 100BASE までなら簡単に自作できる!
ハニーネットで大活躍ですね! 1:TD+ 1:TD+ H 2:TD- 2:TD- Sniffer U B 3:RD+ 3:RD+ 6:RD- 6:RD- 受信専用ケーブル ※ 賢くない HUB に繋いで使います
自分宛てのが見れれば十分です ● 全部見ると大変→フィルタを使う # tcpdump -i any -nn port 80 # tcpdump -i any -nn host 192.168.1.1 and port 80 # tcpdump -i any -nn not port 22 and not port 3389 ● ペイロードまで見たい # tcpdump -i any -nn -x # tcpdump -i any -nn -X 小文字: Hex ダンプだけ 大文字:アスキー付き
キャプチャサイズがデカいと疲れる ● 自動分割(出力先ファイルの切り替え) – サイズ分割 # tcpdump -i eth0 -C 10 -Z root -w tcpdump.pcap -C file_size(MB) -Z root を指定する # ls tcpdump* tcpdump.pcap tcpdump.pcap.1 tcpdump.pcap.2 ... – 時間分割 # tcpdump -i eth0 -G 60 -Z root -w tcpdump_%Y%m%d-%H%M%S.pcap -G rotate_seconds -w strftime の書式文字列を含める # ls tcpdump* tcpdump_20120909-000740.pcap tcpdump_20120909-000840.pcap tcpdump_20120909-000940.pcap ...
取ったあとに分けたい ● tcpslice – 指定時間の範囲で切り出し ● キャプチャされてる時間の確認( 3 種類) % tcpslice -r tcpdump.pcap tcpdump.pcap Wed Mar 27 11:44:11 2013 Wed Mar 27 11:44:23 2013 % tcpslice -t tcpdump.pcap tcpdump.pcap 2013y03m27d11h44m11s817661u 2013y03m27d11h44m23s174956u % tcpslice -R tcpdump.pcap tcpdump.pcap 1364352251.817661 1364352263.174956 ● 開始時間から相対的に指定も可能 % tcpslice 1364352251.817661 +10 -w new.pcap tcpdump.pcap
別れたけどよりを戻したい ● mergecap – くっつけたい pcap を順番に並べて出力ファイル 名を指定するだけ % mergecap -w <outfile> <infile> [<infile> ...]
ペイロードで絞りたい? ● そんなときは「 ngrep 」 – 条件にマッチしたパケットだけ表示する grep のネ ットワーク版 – オプションも grep とだいたい共通 ● -i :大文字小文字の無視 ● -w :単語にマッチ ● -v :マッチしないものを表示 ● -X : 16 進数のストリングで指定 # ngrep [option] < match expression > < bpf filter > # ngrep -q -d eth0 '' port 80
ngrep ● -K < 回数 > – マッチしたパケットに RST を投げる ( 通信の切 断) – 簡単な L7FW に – リモートのサーバで「 ngrep -K 1 」ってやると死 ぬ
grep があるなら sed だって ● netsed – ネットワークストリームエディタ – 条件にマッチしたペイロードの文字列を書き換え # netsed [<proto>] <lport> <rhost> <rport> <rule1> [<rule2> ...] # netsed 8080 192.168.1.1 80 's/google/yahoo' →localhost:8080 に繋ぐと 192.168.1.1:80 に転送  双方向のパケットでルールに基いて書き換え
GUI で見たいよね ● wireshark の出番
でもやっぱり CLI だよね ● tshark の出番 – wireshark に付属 – wireshark の CLI 版 % tshark -r x.pcap 1 0.000000 192.168.100.101 -> 192.168.100.102 TCP 74 49924 > http [SYN] Seq=0 Win=... 2 0.000567 192.168.100.101 -> 192.168.100.102 TCP 66 49924 > http [ACK] Seq=1 Ack=... 3 0.000697 192.168.100.101 -> 192.168.100.102 HTTP 223 GET / HTTP/1.1 4 0.007204 192.168.100.101 -> 192.168.100.102 TCP 66 49924 > http [ACK] Seq=158 Ack=... 5 0.007224 192.168.100.101 -> 192.168.100.102 TCP 66 49924 > http [ACK] Seq=158 Ack=... 6 0.007320 192.168.100.101 -> 192.168.100.102 TCP 66 49924 > http [ACK] Seq=158 Ack=... 7 0.007517 192.168.100.101 -> 192.168.100.102 TCP 66 49924 > http [ACK] Seq=158 Ack=... 8 0.007580 192.168.100.101 -> 192.168.100.102 TCP 66 49924 > http [FIN, ACK] Seq=158 ... 9 0.007625 192.168.100.101 -> 192.168.100.102 TCP 66 49924 > http [ACK] Seq=159 Ack=...
パケット好きですか(再) ● あの素晴らしいパケットをもう一度
tcpreplay ● tcpdump で取得したパケット (pcap) の内容を ネットワークに流す – FW や IDS のテストで使用 – 全部まとめて流したり、 1 パケットずつ(選択し て)流したり、帯域を絞って流したり、繰り返し 流したり
tcprewrite ● pcap の内容を書き換える ● tcpreplay の補助ツール – IP アドレスの書き換え(送信/受信) – MAC アドレスの書き換え ( 〃 ) – VLAN タグの書き換え(削除/追加)
参考文献 ● http://wiki.wireshark.org/CaptureSetup/Ethernet ● man tcpdump ● man tcpreplay / tcprewrite

More Related Content

PPTX
ゲーム木探索技術とコンピュータ将棋への応用
byShogo Takeuchi
 
PDF
パケットキャプチャの勘どころ Ssmjp 201501
by稔 小林
 
PDF
DPDKによる高速コンテナネットワーキング
byTomoya Hibi
 
PDF
Pcapngを読んでみる
byYagi Shinnosuke
 
PDF
Marp Tutorial
byRui Watanabe
 
PDF
ネットワークエンジニアはどこでウデマエをみがくのか?
byYuya Rin
 
PDF
Scapyで作る・解析するパケット
byTakaaki Hoyo
 
PPTX
OSS強化学習フレームワークの比較
bygree_tech
 
ゲーム木探索技術とコンピュータ将棋への応用
byShogo Takeuchi
 
パケットキャプチャの勘どころ Ssmjp 201501
by稔 小林
 
DPDKによる高速コンテナネットワーキング
byTomoya Hibi
 
Pcapngを読んでみる
byYagi Shinnosuke
 
Marp Tutorial
byRui Watanabe
 
ネットワークエンジニアはどこでウデマエをみがくのか?
byYuya Rin
 
Scapyで作る・解析するパケット
byTakaaki Hoyo
 
OSS強化学習フレームワークの比較
bygree_tech
 

What's hot

PDF
Ichimillサービスros活用事例
bykenjiterasaka
 
PPTX
Tensor コアを使った PyTorch の高速化
byYusuke Fujimoto
 
PDF
時系列問題に対するCNNの有用性検証
byMasaharu Kinoshita
 
PDF
ブレインパッドにおける機械学習プロジェクトの進め方
byBrainPad Inc.
 
PDF
BGP Unnumbered で遊んでみた
byakira6592
 
PPTX
冬のLock free祭り safe
byKumazaki Hiroki
 
PDF
プログラムを高速化する話
by京大 マイコンクラブ
 
PDF
CTF超入門 (for 第12回セキュリティさくら)
bykikuchan98
 
PDF
RSA暗号運用でやってはいけない n のこと #ssmjp
bysonickun
 
PDF
CTF for ビギナーズ ネットワーク講習資料
bySECCON Beginners
 
PDF
定理証明支援系Coqについて
byYoshihiro Mizoguchi
 
PDF
暗号技術入門 秘密の国のアリス 総集編
by京大 マイコンクラブ
 
PDF
深層学習による自然言語処理入門: word2vecからBERT, GPT-3まで
byYahoo!デベロッパーネットワーク
 
PDF
大規模サービスを支えるネットワークインフラの全貌
byLINE Corporation
 
PDF
ネットワーク ゲームにおけるTCPとUDPの使い分け
byモノビット エンジン
 
PDF
ゼロからはじめるKVM超入門
byVirtualTech Japan Inc.
 
PDF
ChatGPTは思ったほど賢くない
byCarnot Inc.
 
PDF
CXL_説明_公開用.pdf
byYasunori Goto
 
PDF
実践イカパケット解析
byYuki Mizuno
 
PDF
Pythonでパケット解析
byeuphoricwavism
 
Ichimillサービスros活用事例
bykenjiterasaka
 
Tensor コアを使った PyTorch の高速化
byYusuke Fujimoto
 
時系列問題に対するCNNの有用性検証
byMasaharu Kinoshita
 
ブレインパッドにおける機械学習プロジェクトの進め方
byBrainPad Inc.
 
BGP Unnumbered で遊んでみた
byakira6592
 
冬のLock free祭り safe
byKumazaki Hiroki
 
プログラムを高速化する話
by京大 マイコンクラブ
 
CTF超入門 (for 第12回セキュリティさくら)
bykikuchan98
 
RSA暗号運用でやってはいけない n のこと #ssmjp
bysonickun
 
CTF for ビギナーズ ネットワーク講習資料
bySECCON Beginners
 
定理証明支援系Coqについて
byYoshihiro Mizoguchi
 
暗号技術入門 秘密の国のアリス 総集編
by京大 マイコンクラブ
 
深層学習による自然言語処理入門: word2vecからBERT, GPT-3まで
byYahoo!デベロッパーネットワーク
 
大規模サービスを支えるネットワークインフラの全貌
byLINE Corporation
 
ネットワーク ゲームにおけるTCPとUDPの使い分け
byモノビット エンジン
 
ゼロからはじめるKVM超入門
byVirtualTech Japan Inc.
 
ChatGPTは思ったほど賢くない
byCarnot Inc.
 
CXL_説明_公開用.pdf
byYasunori Goto
 
実践イカパケット解析
byYuki Mizuno
 
Pythonでパケット解析
byeuphoricwavism
 

Viewers also liked

PDF
about Tcpreplay
by@ otsuka752
 
PDF
about tcpreplay-edit
by@ otsuka752
 
PDF
H2O x mrubyで人はどれだけ幸せになれるのか
byIchito Nagata
 
PDF
最新アドテク×Java script実践活用術
byNagao Shun
 
PDF
SSH力をつけよう
by(^-^) togakushi
 
PPTX
Supercharge your Investments with Tax-Loss Harvesting
byWealthfront
 
PPTX
#ABC17 : Alphabet of Innovations, Academic Concepts and Emerging Movements
byDuane Holland
 
PDF
SMARTI
bySMARTI ETN Comms
 
PPT
De felipe iii a carlos ii
byrousbell
 
PDF
Bienvenidos actualizando información sobre BETT & ISE 2017
bygroupVision | optimizing group collaboration
 
PPTX
Popular Struggles & Movements
byMukund Ingle
 
PPT
New Heavens & New Earth
bychildrensministry
 
PDF
ダブル配列の豆知識
bys5yata
 
PDF
Offshore Maintenance Success: Adding $434M to the Bottom Line
byRobert Mason
 
DOCX
Insignias digitales. trabajo final.Lucy Fernández
byLucy Fernandez
 
PDF
Finansijski izvjestaj o radu za 2016. godinu - Župa u srcu
byZupa U srcu
 
ODP
Lipril (Lisinopril Dihydrate Tablets)
byClearsky Pharmacy
 
PDF
Prepare se para sua startup de sucesso!
byIgor Fonseca
 
PPTX
UI composition
byJohan Cambre
 
PDF
Event Report - Worforce Software Vision 2017 - Time to start the boosters
byHolger Mueller
 
about Tcpreplay
by@ otsuka752
 
about tcpreplay-edit
by@ otsuka752
 
H2O x mrubyで人はどれだけ幸せになれるのか
byIchito Nagata
 
最新アドテク×Java script実践活用術
byNagao Shun
 
SSH力をつけよう
by(^-^) togakushi
 
Supercharge your Investments with Tax-Loss Harvesting
byWealthfront
 
#ABC17 : Alphabet of Innovations, Academic Concepts and Emerging Movements
byDuane Holland
 
SMARTI
bySMARTI ETN Comms
 
De felipe iii a carlos ii
byrousbell
 
Bienvenidos actualizando información sobre BETT & ISE 2017
bygroupVision | optimizing group collaboration
 
Popular Struggles & Movements
byMukund Ingle
 
New Heavens & New Earth
bychildrensministry
 
ダブル配列の豆知識
bys5yata
 
Offshore Maintenance Success: Adding $434M to the Bottom Line
byRobert Mason
 
Insignias digitales. trabajo final.Lucy Fernández
byLucy Fernandez
 
Finansijski izvjestaj o radu za 2016. godinu - Župa u srcu
byZupa U srcu
 
Lipril (Lisinopril Dihydrate Tablets)
byClearsky Pharmacy
 
Prepare se para sua startup de sucesso!
byIgor Fonseca
 
UI composition
byJohan Cambre
 
Event Report - Worforce Software Vision 2017 - Time to start the boosters
byHolger Mueller
 

Similar to tcpdumpとtcpreplayとtcprewriteと他。

PDF
Scapy presentation
byashigirl ZareGoto
 
PDF
Trema day 1
byykuga
 
PDF
#pakeana 14
by@ otsuka752
 
PDF
Hokkaido.cap #osc11do Wiresharkを使いこなそう!
byPanda Yamaki
 
PDF
Scapy presentation Remake(訂正)
byashigirl ZareGoto
 
PPTX
LinAction Theme LPICの問題を解いてみる~ネットワーク編~
bycyberblack28 Ichikawa
 
PDF
Hokkaido.cap#1 Wiresharkの使い方(基礎編)
byPanda Yamaki
 
PDF
how to GET GET
by@ otsuka752
 
PPTX
Pakeana 06
by彰 村地
 
PDF
Hokkaido.cap#7 ケーススタディ(セキュリティ解析:前編)
byPanda Yamaki
 
PDF
TCP connectionの保存と復元
bymittyorz
 
PDF
hpingで作るパケット
byTakaaki Hoyo
 
PDF
Hokkaido.cap#2 一般的なプロトコルのパケットを覗いてみよう
byPanda Yamaki
 
PDF
MacPort_&_FTP_ver1.0
bySatoshi Kume
 
PDF
Hokkaido.cap#3 ケーススタディ(基礎編)
byPanda Yamaki
 
PDF
Hokkaido.cap#10 実践パケット解析まとめ
byPanda Yamaki
 
PDF
Wiresharkで検出できないチャットプログラム
byShinichi Hirauchi
 
PDF
パケットキャプチャの定番! Wiresharkのインストールとミニ紹介
byShin Tanigawa
 
PDF
Security.gs fes 2010 in tokyo
byRen Sakamoto
 
PDF
Windowsのパケットモニタ作成
byShinichi Hirauchi
 
Scapy presentation
byashigirl ZareGoto
 
Trema day 1
byykuga
 
#pakeana 14
by@ otsuka752
 
Hokkaido.cap #osc11do Wiresharkを使いこなそう!
byPanda Yamaki
 
Scapy presentation Remake(訂正)
byashigirl ZareGoto
 
LinAction Theme LPICの問題を解いてみる~ネットワーク編~
bycyberblack28 Ichikawa
 
Hokkaido.cap#1 Wiresharkの使い方(基礎編)
byPanda Yamaki
 
how to GET GET
by@ otsuka752
 
Pakeana 06
by彰 村地
 
Hokkaido.cap#7 ケーススタディ(セキュリティ解析:前編)
byPanda Yamaki
 
TCP connectionの保存と復元
bymittyorz
 
hpingで作るパケット
byTakaaki Hoyo
 
Hokkaido.cap#2 一般的なプロトコルのパケットを覗いてみよう
byPanda Yamaki
 
MacPort_&_FTP_ver1.0
bySatoshi Kume
 
Hokkaido.cap#3 ケーススタディ(基礎編)
byPanda Yamaki
 
Hokkaido.cap#10 実践パケット解析まとめ
byPanda Yamaki
 
Wiresharkで検出できないチャットプログラム
byShinichi Hirauchi
 
パケットキャプチャの定番! Wiresharkのインストールとミニ紹介
byShin Tanigawa
 
Security.gs fes 2010 in tokyo
byRen Sakamoto
 
Windowsのパケットモニタ作成
byShinichi Hirauchi
 

More from (^-^) togakushi

PPTX
成績管理の話 (続き)
by(^-^) togakushi
 
PDF
ささみ麻雀部の紹介
by(^-^) togakushi
 
PDF
ファイナル・ファンタジー2のデータを解析してみる
by(^-^) togakushi
 
PDF
手順書の話 Ver.0.3.0
by(^-^) togakushi
 
PDF
仕事の捉え方の話 #ssmjp
by(^-^) togakushi
 
ODP
OpenSSH User EnumerationTime-Based Attack と Python-paramiko
by(^-^) togakushi
 
PDF
Janog33.5
by(^-^) togakushi
 
ODP
現場で役に立たないsudoの使い方
by(^-^) togakushi
 
ODP
sshdのお話
by(^-^) togakushi
 
PDF
KVM+cgroup
by(^-^) togakushi
 
PDF
SSH力をつかおう
by(^-^) togakushi
 
PDF
jenkinsで遊ぶ
by(^-^) togakushi
 
PDF
Pakena #9
by(^-^) togakushi
 
PDF
Sfstudy #2
by(^-^) togakushi
 
PPT
ひとりsphinx
by(^-^) togakushi
 
成績管理の話 (続き)
by(^-^) togakushi
 
ささみ麻雀部の紹介
by(^-^) togakushi
 
ファイナル・ファンタジー2のデータを解析してみる
by(^-^) togakushi
 
手順書の話 Ver.0.3.0
by(^-^) togakushi
 
仕事の捉え方の話 #ssmjp
by(^-^) togakushi
 
OpenSSH User EnumerationTime-Based Attack と Python-paramiko
by(^-^) togakushi
 
Janog33.5
by(^-^) togakushi
 
現場で役に立たないsudoの使い方
by(^-^) togakushi
 
sshdのお話
by(^-^) togakushi
 
KVM+cgroup
by(^-^) togakushi
 
SSH力をつかおう
by(^-^) togakushi
 
jenkinsで遊ぶ
by(^-^) togakushi
 
Pakena #9
by(^-^) togakushi
 
Sfstudy #2
by(^-^) togakushi
 
ひとりsphinx
by(^-^) togakushi
 

Recently uploaded

PDF
PMBOK 7th Edition_Project Management Process_WF Type Development
byakipii ogaoga
 
PDF
100年後の知財業界-生成AIスライドアドリブプレゼン イーパテントYouTube配信
bye-Patent Co., Ltd.
 
PDF
自転車ユーザ参加型路面画像センシングによる点字ブロック検出における性能向上方法の模索 (20260123 SeMI研)
byYuto Matsuda
 
PDF
Reiwa 7 IT Strategist Afternoon I Question-1 3C Analysis
byakipii ogaoga
 
PDF
Team Topology Adaptive Organizational Design for Rapid Delivery of Valuable S...
byakipii ogaoga
 
PDF
Starlink Direct-to-Cell (D2C) 技術の概要と将来の展望
byCRI Japan, Inc.
 
PDF
Reiwa 7 IT Strategist Afternoon I Question-1 Ansoff's Growth Vector
byakipii ogaoga
 
PDF
第21回 Gen AI 勉強会「NotebookLMで60ページ超の スライドを作成してみた」
by嶋 是一 (Yoshikazu SHIMA)
 
PDF
2025→2026宙畑ゆく年くる年レポート_100社を超える企業アンケート総まとめ!!_企業まとめ_1229_3版
bysorabatake
 
PDF
FY2025 IT Strategist Afternoon I Question-1 Balanced Scorecard
byakipii ogaoga
 
PDF
PMBOK 7th Edition Project Management Process Scrum
byakipii ogaoga
 
PDF
PMBOK 7th Edition_Project Management Context Diagram
byakipii ogaoga
 
PDF
ST2024_PM1_2_Case_study_of_local_newspaper_company.pdf
byakipii ogaoga
 
PMBOK 7th Edition_Project Management Process_WF Type Development
byakipii ogaoga
 
100年後の知財業界-生成AIスライドアドリブプレゼン イーパテントYouTube配信
bye-Patent Co., Ltd.
 
自転車ユーザ参加型路面画像センシングによる点字ブロック検出における性能向上方法の模索 (20260123 SeMI研)
byYuto Matsuda
 
Reiwa 7 IT Strategist Afternoon I Question-1 3C Analysis
byakipii ogaoga
 
Team Topology Adaptive Organizational Design for Rapid Delivery of Valuable S...
byakipii ogaoga
 
Starlink Direct-to-Cell (D2C) 技術の概要と将来の展望
byCRI Japan, Inc.
 
Reiwa 7 IT Strategist Afternoon I Question-1 Ansoff's Growth Vector
byakipii ogaoga
 
第21回 Gen AI 勉強会「NotebookLMで60ページ超の スライドを作成してみた」
by嶋 是一 (Yoshikazu SHIMA)
 
2025→2026宙畑ゆく年くる年レポート_100社を超える企業アンケート総まとめ!!_企業まとめ_1229_3版
bysorabatake
 
FY2025 IT Strategist Afternoon I Question-1 Balanced Scorecard
byakipii ogaoga
 
PMBOK 7th Edition Project Management Process Scrum
byakipii ogaoga
 
PMBOK 7th Edition_Project Management Context Diagram
byakipii ogaoga
 
ST2024_PM1_2_Case_study_of_local_newspaper_company.pdf
byakipii ogaoga
 

tcpdumpとtcpreplayとtcprewriteと他。

  • 1.
    tcpdump と tcpreplay と tcprewrite と他。 #ssmjp 2013/03/29 @togakushi
  • 2.
    パケット好きですか? ● tcpdump ってコマンドで好きなだけみれま す! ● 要 root – NIC が promiscuous mode へ – 流れてきたパケットは無差別に拾うモード – 通常は自分宛てのパケットしか処理しない
  • 3.
    切り分けに超役立つ ● ちゃんと相手から届いてるかわかる ● 誰から送られてきてるかわかる ● 暗号化されてるかわかる
  • 4.
    インテリジェントなスイッチ ● MAC アドレスの学習 – 接続されたポートの先に何が繋がってるか知って いる – tcpdump を動かすマシンから見ると、自分宛のパ ケットしか流れてこない>< ● 気になるあの子 ( サーバ ) のパケットも見た い! (注:他人の通信を覗くのはダメですよ)
  • 5.
    こんなこともあろうかと! ● ミラーポート – 超賢いスイッチはパケットをコピーして複数のポ ートに流せる ● タップ – 物理的に出力を 2 つに分ける
  • 6.
    タップの仕組み 1つの送信 (TD) を2 つの受信 (RD) に繋ぐだけ! 1:TD+ 1:TD+ HOST-B HOST-A 2:TD- 2:TD- 3:RD+ 3:RD+ 6:RD- 6:RD- 3:RD+ 6:RD- 3:RD+ 6:RD- eth0 eth1 HOST-C(tcpdump) 100BASE までなら簡単に自作できる!
  • 7.
    ハニーネットで大活躍ですね! 1:TD+ 1:TD+ H 2:TD- 2:TD- Sniffer U B 3:RD+ 3:RD+ 6:RD- 6:RD- 受信専用ケーブル ※ 賢くない HUB に繋いで使います
  • 8.
    自分宛てのが見れれば十分です ● 全部見ると大変→フィルタを使う # tcpdump -i any -nn port 80 # tcpdump -i any -nn host 192.168.1.1 and port 80 # tcpdump -i any -nn not port 22 and not port 3389 ● ペイロードまで見たい # tcpdump -i any -nn -x # tcpdump -i any -nn -X 小文字: Hex ダンプだけ 大文字:アスキー付き
  • 9.
    キャプチャサイズがデカいと疲れる ● 自動分割(出力先ファイルの切り替え) – サイズ分割 # tcpdump -i eth0 -C 10 -Z root -w tcpdump.pcap -C file_size(MB) -Z root を指定する # ls tcpdump* tcpdump.pcap tcpdump.pcap.1 tcpdump.pcap.2 ... – 時間分割 # tcpdump -i eth0 -G 60 -Z root -w tcpdump_%Y%m%d-%H%M%S.pcap -G rotate_seconds -w strftime の書式文字列を含める # ls tcpdump* tcpdump_20120909-000740.pcap tcpdump_20120909-000840.pcap tcpdump_20120909-000940.pcap ...
  • 10.
    取ったあとに分けたい ● tcpslice – 指定時間の範囲で切り出し ● キャプチャされてる時間の確認( 3 種類) % tcpslice -r tcpdump.pcap tcpdump.pcap Wed Mar 27 11:44:11 2013 Wed Mar 27 11:44:23 2013 % tcpslice -t tcpdump.pcap tcpdump.pcap 2013y03m27d11h44m11s817661u 2013y03m27d11h44m23s174956u % tcpslice -R tcpdump.pcap tcpdump.pcap 1364352251.817661 1364352263.174956 ● 開始時間から相対的に指定も可能 % tcpslice 1364352251.817661 +10 -w new.pcap tcpdump.pcap
  • 11.
    別れたけどよりを戻したい ● mergecap – くっつけたい pcap を順番に並べて出力ファイル 名を指定するだけ % mergecap -w <outfile> <infile> [<infile> ...]
  • 12.
    ペイロードで絞りたい? ● そんなときは「 ngrep 」 – 条件にマッチしたパケットだけ表示する grep のネ ットワーク版 – オプションも grep とだいたい共通 ● -i :大文字小文字の無視 ● -w :単語にマッチ ● -v :マッチしないものを表示 ● -X : 16 進数のストリングで指定 # ngrep [option] < match expression > < bpf filter > # ngrep -q -d eth0 '' port 80
  • 13.
    ngrep ● -K < 回数 > – マッチしたパケットに RST を投げる ( 通信の切 断) – 簡単な L7FW に – リモートのサーバで「 ngrep -K 1 」ってやると死 ぬ
  • 14.
    grep があるなら sedだって ● netsed – ネットワークストリームエディタ – 条件にマッチしたペイロードの文字列を書き換え # netsed [<proto>] <lport> <rhost> <rport> <rule1> [<rule2> ...] # netsed 8080 192.168.1.1 80 's/google/yahoo' →localhost:8080 に繋ぐと 192.168.1.1:80 に転送  双方向のパケットでルールに基いて書き換え
  • 15.
    GUI で見たいよね ● wireshark の出番
  • 16.
    でもやっぱり CLI だよね ● tshark の出番 – wireshark に付属 – wireshark の CLI 版 % tshark -r x.pcap 1 0.000000 192.168.100.101 -> 192.168.100.102 TCP 74 49924 > http [SYN] Seq=0 Win=... 2 0.000567 192.168.100.101 -> 192.168.100.102 TCP 66 49924 > http [ACK] Seq=1 Ack=... 3 0.000697 192.168.100.101 -> 192.168.100.102 HTTP 223 GET / HTTP/1.1 4 0.007204 192.168.100.101 -> 192.168.100.102 TCP 66 49924 > http [ACK] Seq=158 Ack=... 5 0.007224 192.168.100.101 -> 192.168.100.102 TCP 66 49924 > http [ACK] Seq=158 Ack=... 6 0.007320 192.168.100.101 -> 192.168.100.102 TCP 66 49924 > http [ACK] Seq=158 Ack=... 7 0.007517 192.168.100.101 -> 192.168.100.102 TCP 66 49924 > http [ACK] Seq=158 Ack=... 8 0.007580 192.168.100.101 -> 192.168.100.102 TCP 66 49924 > http [FIN, ACK] Seq=158 ... 9 0.007625 192.168.100.101 -> 192.168.100.102 TCP 66 49924 > http [ACK] Seq=159 Ack=...
  • 17.
    パケット好きですか(再) ● あの素晴らしいパケットをもう一度
  • 18.
    tcpreplay ● tcpdump で取得したパケット (pcap) の内容を ネットワークに流す – FW や IDS のテストで使用 – 全部まとめて流したり、 1 パケットずつ(選択し て)流したり、帯域を絞って流したり、繰り返し 流したり
  • 19.
    tcprewrite ● pcap の内容を書き換える ● tcpreplay の補助ツール – IP アドレスの書き換え(送信/受信) – MAC アドレスの書き換え ( 〃 ) – VLAN タグの書き換え(削除/追加)
  • 20.
    参考文献 ● http://wiki.wireshark.org/CaptureSetup/Ethernet ● man tcpdump ● man tcpreplay / tcprewrite