Wireshark だけに頼らない! パケット解析ツールの紹介

2014年7月4日ネットワークパケットを読む会(仮)第18回発表資料

Wireshark だけに頼らない!

パケット解析ツールの紹介@k_morihisa

$ whoami

• 名前：森久 和昭 • Twitter：@k_morihisa • 情報セキュリティエンジニア・アナリスト

• 趣味でハニーポットを観察してますhttp://www.morihi-soc.net/ !

• 第10回「ネットワークパケットを読む会（仮）」何が変わった!? Wireshark 1.8http://www.slideshare.net/morihisa/wireshark-18

2

パケット好きですか?

ご注文は Wireshark ですか?

• デモ

4

Wireshark がやられたようだな．．．

5

困った(́・ω・｀)

• Wireshark 自体の脆弱性を突いたパケットを含むファイルの解析をする場合 !

• 巨大なファイルサイズのパケット解析をする場合 !

• そもそも，GUI 環境でない場合 !

• 楽しくパケット解析したい

6

つまり

誤：ご注文は Wireshark ですか? !

正：ご注文はパケット解析ツールですか?

7

様々なパケット解析ツール

• GUI編 !

• CUI編 !

• Wireshark ファミリー編 !

• おまけ

8

GUI編

• Network Miner • Xplico

9

Network Miner

• パケットからデータ収集できるツール !

• 公式サイトhttp://www.netresec.com/?page=NetworkMiner

10

Network Miner

11

pcapを ドラッグ&ドロップ

インターフェースを指定して リアルタイムキャプチャ

Network Miner

• 抽出したファイルはフォルダに保存される • NetworkMiner\AssembledFiles\ホスト毎 !

• 有料版もある • pcapng 形式ファイルの解析ができる • CSV/Excel でデータ出力ができる • コマンドライン版が使える 等

12

Xplico

• Web インターフェースを持つパケット解析ツール • 複数人でのトラフィックデータの共有に向いている

!

• 公式サイト • http://www.xplico.org/

13

Xplico

14

Xplico

• インストールや使い方は wiki 参照 • http://wiki.xplico.org/ !

• デフォルトポート：9876/tcp →FW の ACL 注意 • デフォルトユーザ：admin / xplico →パスワード変更

!

• 最も簡単な使い方 1. ケースを作成 2. セッションを作成 3. pcap アップロード / リアルタイムキャプチャ

15

Xplico

• いろいろ解析してくれる • Web • Email • FTP • DNS 等 !

• 解析には負荷がかかる →巨大なファイルだと時間がかかる

16

СUI編

• tcpdump • tcpflow • tcpslice

17

tcpdump

• パケットキャプチャといえば tcpdump !

• 公式 • http://www.tcpdump.org/

!

!

• 初心者もう使いこなしている人たちばかりだと 思うので，今回は省略

18

tcpflow

• 送信元先 IP/port のセッションごとに分割 !

• GitHub tcpflow • https://github.com/simsong/tcpflow

19

tcpflow

• 簡単な使い方 • キャプチャファイルを読み込む $ tcpflow [-c] -r キャプチャファイル フィルタ

!

• ライブキャプチャ $ tcpflow [-c] -i インターフェース フィルタ

!

• 重要 • -c オプションをつけるとディスプレイ表示のみ • つけないと，セッション内容はファイルに保存

20

tcpflow

• -c オプションを忘れるとこうなる

21

＼ や べ え ／

tcpslice

• 時間を指定してパケットを切り出すツール !

• GitHub tcpslice • https://github.com/the-tcpdump-group/tcpslice

22

tcpslice

• 使い方 $ tcpslice -r パケットファイル →開始時間と終了時間を普通の日時で表示 !

$ tcpslice -t パケットファイル →開始時間と終了時間を ymdhmsu 方式で表示 !

$ tcpslice -d ymdhmsu +秒数 パケットファイル →開始と終了の UNIX 時間が表示 !

$ tcpslice -w 保存ファイル名 開始時間 終了時間 元ファイル →UNIX 時間で指定

23

tcpslice• こんな感じで切り出しができます．

24

Wireshark も使いたい

Program Files を開いてみよう

• たくさん exe がありますね． • 少しだけ紹介します．

26

Wireshark ファミリー編

• capinfos.exe • キャプチャファイルの情報を表示 • pcap や pcapng 等の確認に役立つ !

• editcap.exe • キャプチャファイルを分割 • パケット数で分割したり，pcap - pcapng 変換 !

• mergecap.exe • キャプチャファイルを統合

27

キャプチャプログラム使いどころ

• wireshark.exe • GUI でパケットキャプチャと解析ができる !

• tshark.exe • CUI でパケットキャプチャと解析ができる

!

• dumpcap.exe • CUI でパケットキャプチャできる．早い

28

おまけ

• VirusTotal • https://www.virustotal.com/ja/ • ファイルをアップロードすると，マルウェア対策

ソフトでの検出状況を確認可能 !

• キャプチャファイルも解析してくれる • Snort や Suricata といった IDS の検知状況が

確認できる

29

参考• ネットワークトラブルシューティングツール(書籍) • http://www.oreilly.co.jp/books/4873110807/ !

• SecTools • http://sectools.org/ !

• Probably the Best Free Security List in the World • http://www.techsupportalert.com/content/

probably-best-free-security-list-world.htm

30

ありがとうございました