Hokkaido.cap#7 ケーススタディ(セキュリティ解析:前編)
- 1. ケーススタディ (セキュリティ解析 – 前編) Hokkaido.cap #7 2011.10.21 Masayuki YAMAKI
- 2. 今日の目標 ? ネットワークセキュリティに関するシナリオを体 Wireshark 験し、これらのパケットがWiresharkでどのよう に見えるか確認しましょう。 ? 解析作業をとおして「ディスプレイフィルタ」の使 い方を覚えましょう。 2
- 3. 前回までのおさらい ? これまでの資料を以下のURLで公開しています。 (USBメモリにも収録しています) Wiresharkを初めて使う方は参照しながら進め てみてください。 http://www.slideshare.net/eightroll ? 操作方法がわからない場合は、遠慮せずにど んどん質問してください。 3
- 4. 今日の進め方 ? 「実践パケット解析 第9章 ケーススタディ (セキュリティ解析)」の内容をベースに進めま す。本書をお持ちの方は演習に合わせて参照 してください。 (スライドには概要のみ記載しています) ? 気付いた点やわからない点があれば自由に ディスカッションしましょう。 4
- 6. OSのフィンガープリント (1/3) ? サンプルファイル : osfingerprinting.pcap ? ICMP通信が記録されているキャプチャファイル ICMP - 一般的には使用されない 「Timestamp request」 「Timestamp reply」 「Address mask request」 「Information request」 などが記録されている。 6
- 7. OSのフィンガープリント (2/3) ? OS Finger Print とは OS - 標的ホストのOSを推測する方法の一つ。 - OSごとのTCP/IPの実装に関する特徴(TCPの 初期シーケンス番号やFINパケットに関する 応答、ICMPのメッセージなど)から、OSの種 類を推測する。 7
- 8. OSのフィンガープリント (3/3) ? ディスプレイフィルタを適用 icmp.type == 13 || icmp.type == 15 || icmp.type == 17 8
- 9. 参考 : ICMP タイプ一覧 タイプ 説明 タイプ 説明 0 エコー応答 (Echo Reply) 13 タイムスタンプ 3 宛先到達不能 (Timestamp) (Destination Unreachable) 14 タイムスタンプ応答 4 発信元抑制 (Source Quench) (Timestamp Reply) 5 リダイレクト (Redirect) 15 インフォメーション要求 (Information Request) 8 エコー要求 (Echo Request) 16 インフォメーション応答 9 ルータ通知 (Information Reply) (Router Advertisement) 17 アドレスマスク要求 10 ルータ要求 (Router Solicitation) (Address Mask Request) 11 時間超過 (Time Exceeded) 18 アドレスマスク応答 12 パラメータ問題 (Address Mask Reply) (Parameter Problem) http://www.iana.org/assignments/icmp-parameters/icmp-parameters.xml 9
- 10. ポートスキャン (1/1) ? サンプルファイル : portscan.pcap ? ポートスキャン(通信可能なTCP、UDPのポート を探す)の一部を抜粋したキャプチャファイル - Telnet、microsoft-ds、FTP、SMTPなど攻撃がしやす いポートに対して行われることが多い。 10
- 11. 参考 : ポートスキャンの種類 ? 代表的なポートスキャナ「nmap」を使用した例 - TCP SYN スキャン : nmap_SYN_scan.pcap ? nmap -sS -A -v <hostname> - TCP SYN スキャン (All TCP ports) : nmap_SYN-All_scan.pcap ? nmap -sS -p 1-65535 -A -v <hostname> - TCP FIN スキャン : nmap_FIN_scan.pcap ? nmap -sF -A -v <hostname> - UDP スキャン : nmap_UDP_scan.pcap ? nmap -sU -A -v <hostname> 11
- 12. プリンタの氾濫 (1/2) ? サンプルファイル : printerproblem.pcap ? プリンタからおかしなものが印刷される - プリンタサーバでキャプチャを開始。 - プリンタサーバ(10.100.16.15)は特定のクライアント (10.100.17.47)から大量にSPOOLパケットを受信し ている。 12
- 13. プリンタの氾濫 (2/2) ? TCP Stream を見ると、送信されているデータが Microsoft Word文書でユーザー名がcsandersで あることがわかる。 13
- 14. FTPサーバへの侵入 (1/3) ? サンプルファイル : ftp-crack.pcap ? FTP FTPサーバへの大量トラフィック - よく見ると認証に何度も失敗している 14
- 15. FTPサーバへの侵入 (2/3) ? ディスプレイフィルタを適用 ftp.request.command == “USER” || ftp.request.command == "PASS" 15
- 16. FTPサーバへの侵入 (3/3) ? アルファベット順にパスワードを試していることか ら、辞書攻撃で探っていることがわかる。 16
- 17. まとめと参考资料 17
- 18. この演習のまとめ ? フィンガープリントやポートスキャンやなどの不 正侵入を試みる通信が、Wiresharkでどのよう に見えるか確認しました。 ? 大量のキャプチャデータから目的のパケットを 絞り込む方法「ディスプレイフィルタ」の使い方 を学びました。 ? 次回も引き続きセキュリティ解析のケースを学 習しましょう。 18
- 19. 参考資料 ? 実践パケット解析 - Wiresharkを使ったトラブル シューティング - http://www.oreilly.co.jp/books/9784873113517/ - ISBN978-4-87311-351-7 ? ICMPを使って対象サイトのOSを特定する「Xprobe」 - http://itpro.nikkeibp.co.jp/members/ITPro/SEC_CHECK/20010921/1/ ? Nmap - Free Security Scanner For Network Exploration & Security Audits. - http://nmap.org/ 19