狠狠撸

パケット解析
ライブラリの開発
すらんく (@slankdev)
セキュリティ?キャンプ 2015 卒業生
Mar 4 2016 Security Camp Forum 1

Agenda
o パケット解析の現状
? パケット解析の定石
? パケット解析はもっとこうあるべき
o LibPGENの紹介
o LibPGENの設計
o LibPGENの使用例

はじめに
o このライブラリは現在CybozuLab株式会社様の「サイボウ
ズ?ラボユース」というプロジェクトで開発を支援していただ
いています。
o セキュリティ?キャンプ関係者の方々の意見なども参考に
させていただいています。
o この場を借りてありがとうございます。

本当は今日は….
o 去年の12月に公開したversion1について発表しようと思っ
ていたのですが…
oラボユースでの開発中にいろいろなことがありまして

サイボウズラボユースにて
ここの実装はどうしてこうなんですか?
こうしないとダメじゃないんですか？
ラボユース初期の開発打ち合わせにて
ここはry)
そもそもC++のソフトウェアなのにいろい
ろできていなry)
あ、そうです。なおします
はい、そこもです。
。。。。

全部設計しなおして作り直そう
ってことでまだ全て実装しきれてないです

注意!!
o 開発中のversion2.0の開発に関しての発表を行います

Agenda
o LibPGENの紹介
o LibPGENの設計

パケット解析の定石
o Wiresharkに頼った解析(ダメとは全く言っていない)
o ディスプレイフィルタや、豊富な情報処理機能が最高
o はっきり言って、解析しているのは人でなく鮫
おう、このパケットどうよ?
lengthがあってないでシャーク
おかしいでシャーク

このパケット解析だけでは…
o 鮫のしらないプロトコルの出現!! ? ドウスル…
o パケット解析、処理能力の必要性
理想
現実

Agenda
o LibPGENの紹介
o LibPGENの設計

パケット解析はもっとこうあるべき
o 自由にプログラミングしたい。。もっと色々遊びたい
o 見るだけじゃ。。。キマらない
o パケットを作りたい、変えたい
おう、頼りにしてるけど
一人でもある程度出来るぜ
すごいでシャーク
すごいでシャーク

理想
o プログラミングしたい
o 簡単で自由自在にパケットを弄くり倒したい
パ
ケ
ッ
ト
解
析
な
ん
て

Agenda
o LibPGENの紹介
o LibPGENの設計

LibPGEN: とは
o 読み方は「りぶぴーじぇん」です
o C++で利用可能なパケット解析ライブラリ
oユーザが正しくパケットを作る補助などの機能あり
oもちろん好き勝手にいじくれるようにしました

LibPGEN: 概要
o 簡単なコードでパケットを弄り倒せる
o この界隈ではScapyが有名ですが、それのC++版みたいな
o パケット解析だけでなく、様々な機能を追加予定

LibPGEN: 特徴と新規性
o 新規性
? パケットを扱うライブラリ
? 既存ライブラリでは目的を重視
? このライブラリでは仮定を重視
? その方が勉強になるんじゃね
o 特徴
? 拡張しやすい設計に
? プロトコルの知識さえあれば弄り倒せる

o 有名どころのライブラリは…
o 目的重視 → アプリケーション開発などには最適

o LibPGENは…
o パケット単位でのプログラミング
o 通信に至る過程を重視 → いろんなことを学べるかもね

o 現在対応のプロトコル (version1では)
? Ethernet, ARP, IP, ICMP, TCP, UDP
o これ以外のプロトコルは拡張が容易な設計に(後述)

LibPGEN: 今後の展開
o 様々なプロトコルをサポート？

Agenda
o LibPGENの紹介
o LibPGENの設計

アーキテクチャ
IO Controller
Address Controller
Module
Packet Controller

3つのコンポーネントに分割
o IO Controller
? データの入出力を担当
? ネットワークインターフェースに送受信
? PCAP, PCAPNGファイルに書き込み
o Address Controller
? アドレス処理などを担当
? 文字列からアドレスなど
o Packet Controller
? 様々なプロトコルのパケットを解析、作成などを担当
o Module
? 上の三つを使って書かれたモジュール群

Packet, Address Controller
o パケットやアドレスのバイナリの生成や、解析などを行う
o 簡単なインターフェースでパケットのデータを編集などを
可能にします
o 例えばARPパケットならこんな感じ

Packet, Address class
o Packet class
? 各プロトコルに対応したパケットクラスがある
? TCPパケットなら pgen::tcp クラス
? (まだないけど) HTTPパケットなら pgen::http クラス
o Address class
? MACアドレスとIPアドレスがある
? pgen::macaddress クラス
? pgen::ipaddressクラス

IO Controller
o データの入出力を管理するクラス
? ネットワークインターフェース
? pcapファイル
? pcapNgファイル
o 既存のstreamクラスと使い方は全く一緒
o 以下以外の方法もあります

実装について
o 初めてC++での開発っぽいものをしたので
僕にはかなりむずかしいです (もやし)

ユーザのミスを知らせる
o 標準ではおかしいパケットを作成できないように
ユーザをある程度束縛
o プロトコルごとで依存しあう要素などがけっこうある

ユーザのミスを知らせる
o lengthに問題がある場合
? こんな感じに依存しあう値があると…
o 実装は…
? 高レイヤのフィールドから設定させる
(カプセル化の基本)
? パケット通信の基本どうりに作るぜ
E
T
H
I
P
U
D
P
D
a
t
a
データ長
UDPlength
IPtotallength
パケット長

拡張しやすい設計の可能性
o 新規プロトコルへの拡張を簡単に出来るようにしました
o プロトコルの拡張方法
? 新たなパケットクラスを実装するだけ

新規プロトコルに拡張するには
o パケットに関するクラスのナカミ (一部)
o pgen::packetクラスを継承するだけ
o pgen::packetクラスの仮装関数を実装するだけ
? compile() パケットのバイナリを生成
? analyze() バイナリをパケットとして解析
? summary() 情報出力
本当の
やるだけ

Agenda
o LibPGENの紹介
o LibPGENの設計

鮫ができないFollow ICMP Stream
o 現実的なメリットとかは気にせず Let’s パケット解析
o WiresharkのFollow TCP Streamは最高にクール
でもFollow ICMP Streamはない (ある必要は別に…)
o パケット解析の遊びです
o Special Thanks: イケメンパケリスト

o 問題
? icmpパケットに対して画像データを分割してデータ部に
くっつけられたパケットが与えられる
? そこから元の画像にもどす
? パケットは以下を使います
https://www.cloudshark.org/captures/97e668880ded

これじゃ何も
わかんないから

こうして…
こうじゃ!!
やったぜ

More Information
oライブラリの紹介サイト
http://libpgen.org
o OSPN Press に掲載していただきました。 (version1が)
http://www.ospn.jp/press/20160209no44-useit-oss.html
o僕のブログでも情報公開します
http://blog.slankdev.net

最後に
o パケットで遊ぼう
o Thanks
my packet and friends
命
よ
り
重
い
！
パ
ケ
ッ
ト
は

狠狠撸

Seurity Camp Award 2016

More Related Content

Seurity Camp Award 2016