Wireshark だけに頼らない! パケット解析ツールの紹介
?
86 likes?51,981 views
第18回「ネットワークパケットを読む会(仮)」勉強会の発表資料です.Wireshark 以外のパケット解析ツールについて紹介しています.
![tcp?ow
? 簡単な使い方
? キャプチャファイルを読み込む
$ tcp?ow [-c] -r キャプチャファイル フィルタ
!
? ライブキャプチャ
$ tcp?ow [-c] -i インターフェース フィルタ
!
? 重要
? -c オプションをつけるとディスプレイ表示のみ
? つけないと,セッション内容はファイルに保存
20](https://image.slidesharecdn.com/pakeana-18-140704061335-phpapp01/85/Wireshark-20-320.jpg)
Wireshark だけに頼らない! パケット解析ツールの紹介
- 2. $ whoami ? 名前:森久 和昭 ? Twitter:@k_morihisa ? 情報セキュリティエンジニア?アナリスト? ? 趣味でハニーポットを観察してます? ? http://www.morihi-soc.net/ ! ? 第10回「ネットワークパケットを読む会(仮)」? ? 何が変わった!? Wireshark 1.8? http://www.slideshare.net/morihisa/wireshark-18 2
- 3. パケット好きですか?
- 4. ご注文は Wireshark ですか? ? デモ 4
- 6. 困った(??ω?`) ? Wireshark 自体の脆弱性を突いたパケットを? 含むファイルの解析をする場合 ! ? 巨大なファイルサイズのパケット解析をする場合 ! ? そもそも,GUI 環境でない場合 ! ? 楽しくパケット解析したい 6
- 8. 様々なパケット解析ツール ? GUI編 ! ? CUI編 ! ? Wireshark ファミリー編 ! ? おまけ 8
- 9. GUI編 ? Network Miner ? Xplico 9
- 10. Network Miner ? パケットからデータ収集できるツール ! ? 公式サイト? http://www.netresec.com/?page=NetworkMiner 10
- 12. Network Miner ? 抽出したファイルはフォルダに保存される ? NetworkMinerAssembledFilesホスト毎 ! ? 有料版もある ? pcapng 形式ファイルの解析ができる ? CSV/Excel でデータ出力ができる ? コマンドライン版が使える 等 12
- 13. Xplico ? Web インターフェースを持つパケット解析ツール ? 複数人でのトラフィックデータの共有に向いている ! ? 公式サイト ? http://www.xplico.org/ 13
- 14. Xplico 14
- 15. Xplico ? インストールや使い方は wiki 参照 ? http://wiki.xplico.org/ ! ? デフォルトポート:9876/tcp →FW の ACL 注意 ? デフォルトユーザ:admin / xplico →パスワード変更 ! ? 最も簡単な使い方 1. ケースを作成 2. セッションを作成 3. pcap アップロード / リアルタイムキャプチャ 15
- 16. Xplico ? いろいろ解析してくれる ? Web ? Email ? FTP ? DNS 等 ! ? 解析には負荷がかかる →巨大なファイルだと時間がかかる 16
- 17. СUI編 ? tcpdump ? tcp?ow ? tcpslice 17
- 18. tcpdump ? パケットキャプチャといえば tcpdump ! ? 公式 ? http://www.tcpdump.org/ ! ! ? 初心者もう使いこなしている人たちばかりだと? 思うので,今回は省略 18
- 19. tcp?ow ? 送信元先 IP/port のセッションごとに分割 ! ? GitHub tcp?ow ? https://github.com/simsong/tcp?ow 19
- 20. tcp?ow ? 簡単な使い方 ? キャプチャファイルを読み込む $ tcp?ow [-c] -r キャプチャファイル フィルタ ! ? ライブキャプチャ $ tcp?ow [-c] -i インターフェース フィルタ ! ? 重要 ? -c オプションをつけるとディスプレイ表示のみ ? つけないと,セッション内容はファイルに保存 20
- 22. tcpslice ? 時間を指定してパケットを切り出すツール ! ? GitHub tcpslice ? https://github.com/the-tcpdump-group/tcpslice 22
- 23. tcpslice ? 使い方 $ tcpslice -r パケットファイル →開始時間と終了時間を普通の日時で表示 ! $ tcpslice -t パケットファイル →開始時間と終了時間を ymdhmsu 方式で表示 ! $ tcpslice -d ymdhmsu +秒数 パケットファイル →開始と終了の UNIX 時間が表示 ! $ tcpslice -w 保存ファイル名 開始時間 終了時間 元ファイル →UNIX 時間で指定 23
- 25. Wireshark も使いたい
- 26. Program Files を開いてみよう ? たくさん exe がありますね. ? 少しだけ紹介します. 26
- 27. Wireshark ファミリー編 ? capinfos.exe ? キャプチャファイルの情報を表示 ? pcap や pcapng 等の確認に役立つ ! ? editcap.exe ? キャプチャファイルを分割 ? パケット数で分割したり,pcap - pcapng 変換 ! ? mergecap.exe ? キャプチャファイルを統合 27
- 28. キャプチャプログラム使いどころ ? wireshark.exe ? GUI でパケットキャプチャと解析ができる ! ? tshark.exe ? CUI でパケットキャプチャと解析ができる ! ? dumpcap.exe ? CUI でパケットキャプチャできる.早い 28
- 29. おまけ ? VirusTotal ? https://www.virustotal.com/ja/ ? ファイルをアップロードすると,マルウェア対策 ソフトでの検出状況を確認可能 ! ? キャプチャファイルも解析してくれる ? Snort や Suricata といった IDS の検知状況が? 確認できる 29
- 30. 参考 ? ネットワークトラブルシューティングツール(書籍) ? http://www.oreilly.co.jp/books/4873110807/ ! ? SecTools ? http://sectools.org/ ! ? Probably the Best Free Security List in the World ? http://www.techsupportalert.com/content/ probably-best-free-security-list-world.htm 30
- 31. ありがとうございました