Wireshark入門(3)
•Download as PPTX, PDF•
22 likes•7,575 views
2015/1/29 開催「第24回ネットワーク パケットを読む会 (仮)」でのセッション スライドです。
![WinPcap 4.1 以降のバージョンでは NPF
サービスが自動起動に設定されます
• [管理者として実行] しなくてもパケット キャプ
チャができます
• 自動起動で問題がある場合は、以下のレジストリ
キーで設定が変更できます
HKLMSYSTEMCurrentControlSetservices
NPFStart
0x1 : SERVICE_SYSTEM_START
0x2 : SERVICE_AUTO_START
0x3 : SERVICE_DEMAND_START
2015/1/29ネットワーク パケットを読む会(仮)
5](https://image.slidesharecdn.com/wireshark3-150129014952-conversion-gate02/75/Wireshark-3-5-2048.jpg)
![[File] – [Export] – [Objects]
• HTTP, SMB, DICOM に対応
2015/1/29ネットワーク パケットを読む会(仮)
8](https://image.slidesharecdn.com/wireshark3-150129014952-conversion-gate02/75/Wireshark-3-8-2048.jpg)
![[Save As], [Save All] でオブジェクトを
ファイルとして保存できます
2015/1/29ネットワーク パケットを読む会(仮)
9](https://image.slidesharecdn.com/wireshark3-150129014952-conversion-gate02/75/Wireshark-3-9-2048.jpg)
![[File] – [Export] – [Objects] – [HTTP]
“Save As” または “Save All” でHTTP コン
テンツを取り出す
2015/1/29ネットワーク パケットを読む会(仮)
11](https://image.slidesharecdn.com/wireshark3-150129014952-conversion-gate02/75/Wireshark-3-11-2048.jpg)
![[File] – [Export] – [Objects] – [HTTP]
“Save As” でHTTP コンテンツとしてビデ
オ ファイルを取り出す
HTML5 Video で再生されているので、抽
出したファイルはそのまま mp4 動画とし
て再生できる
2015/1/29ネットワーク パケットを読む会(仮)
12](https://image.slidesharecdn.com/wireshark3-150129014952-conversion-gate02/75/Wireshark-3-12-2048.jpg)
![Twitter クライアントの通信データのキャ
プチャ ファイル
[File] – [Export] – [Objects] – [HTTP]
ファイルとしての抽出は可能だが、内容は
JSON なので、そのままでは簡単に読み取
れない
• アプリケーション レベルでのデータ再構成が必要
2015/1/29ネットワーク パケットを読む会(仮)
13](https://image.slidesharecdn.com/wireshark3-150129014952-conversion-gate02/75/Wireshark-3-13-2048.jpg)
![ FTP なので Export は利用できない
• Passive モードなのでポートも不定
• そこで “227 Entering Passive Mode” を探す
• ファイル名はその次の FTP コマンド
"Request: RETR (filename.ext)" で確認できる
Passive port が指定されているので、
"tcp.port == (ポート番号)" でフィルタ
• これで目的のファイルがダウンロードされているスト
リームだけに絞り込める
Follow TCP Stream でデータを抽出
データ形式を [Raw] にして [Save As] で保存
2015/1/29ネットワーク パケットを読む会(仮)
14](https://image.slidesharecdn.com/wireshark3-150129014952-conversion-gate02/75/Wireshark-3-14-2048.jpg)
![SMTP なので Export は利用できない
• データは Wireshark でリアセンブルできる
• [Edit preferences] - [Protocols] - [SMTP] で
"Reassemble SMTP DATA commands spanning
mulitple TCP segments" をオンにしておく
“smtp” でフィルタ
(必要に応じて IP アドレスでもフィルタ)
サーバー レスポンスを検索
"354 Enter mail, end with "." on a line by itself"
2015/1/29ネットワーク パケットを読む会(仮)
15](https://image.slidesharecdn.com/wireshark3-150129014952-conversion-gate02/75/Wireshark-3-15-2048.jpg)
![直後のクライアントからのデータ フレー
ムを見つけると、フレーム詳細ペインでリ
アセンブルされているフレーム番号が確認
できる
確認したフレームを選択し、フレーム詳細
ペインで “Internet Message Format” を右
クリック、[Copy] - [Bytes] - [Printable Text
Only] でコピー
テキスト エディタにコピーしたテキスト
を貼り付けて保存
2015/1/29ネットワーク パケットを読む会(仮)
16](https://image.slidesharecdn.com/wireshark3-150129014952-conversion-gate02/75/Wireshark-3-16-2048.jpg)
Wireshark入門(3)
- 1. キャプチャからのファイル抽出 2015/1/29 改定版 Murachi Akira aka hebikuzure
- 2. 実践 パケット解析――Wiresharkを使った トラブルシューティング • http://www.oreilly.co.jp/books/9784873113517/ • ISBN978-4-87311-351-7 2015/1/29ネットワーク パケットを読む会(仮) 2
- 4. 最新バージョンを利用しましょう • セキュリティ修正が含まれます • 古いバージョンは攻撃対象になります • 現在の最新版は 1.12.3 (2015/1/7 リリース) Windows 環境では同梱の WinPcap を利用 しましょう 2015/1/29ネットワーク パケットを読む会(仮) 4
- 5. WinPcap 4.1 以降のバージョンでは NPF サービスが自動起動に設定されます • [管理者として実行] しなくてもパケット キャプ チャができます • 自動起動で問題がある場合は、以下のレジストリ キーで設定が変更できます HKLMSYSTEMCurrentControlSetservices NPFStart 0x1 : SERVICE_SYSTEM_START 0x2 : SERVICE_AUTO_START 0x3 : SERVICE_DEMAND_START 2015/1/29ネットワーク パケットを読む会(仮) 5
- 6. How To Set Up a Capture http://wiki.wireshark.org/CaptureSetup Security http://wiki.wireshark.org/Security Platform-Specific information about capture privileges http://wiki.wireshark.org/CaptureSetup/Cap turePrivileges 2015/1/29ネットワーク パケットを読む会(仮) 6
- 7. Wireshark の Export 機能を利用する NetworkMiner を利用する 手作業で頑張る 2015/1/29ネットワーク パケットを読む会(仮) 7
- 8. [File] – [Export] – [Objects] • HTTP, SMB, DICOM に対応 2015/1/29ネットワーク パケットを読む会(仮) 8
- 9. [Save As], [Save All] でオブジェクトを ファイルとして保存できます 2015/1/29ネットワーク パケットを読む会(仮) 9
- 11. [File] – [Export] – [Objects] – [HTTP] “Save As” または “Save All” でHTTP コン テンツを取り出す 2015/1/29ネットワーク パケットを読む会(仮) 11
- 12. [File] – [Export] – [Objects] – [HTTP] “Save As” でHTTP コンテンツとしてビデ オ ファイルを取り出す HTML5 Video で再生されているので、抽 出したファイルはそのまま mp4 動画とし て再生できる 2015/1/29ネットワーク パケットを読む会(仮) 12
- 13. Twitter クライアントの通信データのキャ プチャ ファイル [File] – [Export] – [Objects] – [HTTP] ファイルとしての抽出は可能だが、内容は JSON なので、そのままでは簡単に読み取 れない • アプリケーション レベルでのデータ再構成が必要 2015/1/29ネットワーク パケットを読む会(仮) 13
- 14. FTP なので Export は利用できない • Passive モードなのでポートも不定 • そこで “227 Entering Passive Mode” を探す • ファイル名はその次の FTP コマンド "Request: RETR (filename.ext)" で確認できる Passive port が指定されているので、 "tcp.port == (ポート番号)" でフィルタ • これで目的のファイルがダウンロードされているスト リームだけに絞り込める Follow TCP Stream でデータを抽出 データ形式を [Raw] にして [Save As] で保存 2015/1/29ネットワーク パケットを読む会(仮) 14
- 15. SMTP なので Export は利用できない • データは Wireshark でリアセンブルできる • [Edit preferences] - [Protocols] - [SMTP] で "Reassemble SMTP DATA commands spanning mulitple TCP segments" をオンにしておく “smtp” でフィルタ (必要に応じて IP アドレスでもフィルタ) サーバー レスポンスを検索 "354 Enter mail, end with "." on a line by itself" 2015/1/29ネットワーク パケットを読む会(仮) 15
- 16. 直後のクライアントからのデータ フレー ムを見つけると、フレーム詳細ペインでリ アセンブルされているフレーム番号が確認 できる 確認したフレームを選択し、フレーム詳細 ペインで “Internet Message Format” を右 クリック、[Copy] - [Bytes] - [Printable Text Only] でコピー テキスト エディタにコピーしたテキスト を貼り付けて保存 2015/1/29ネットワーク パケットを読む会(仮) 16
- 17. ファイル サーバーに読み書きされたファ イルを抽出できる(はず) SMB2 にも対応しました 2015/1/29ネットワーク パケットを読む会(仮) 17
- 19. SMB/SMB ではファイルの特定部分だけ読 出し/書き込みしている場合がある ファイル コピーのような全データの読出 し/書き込みでないと完全なファイルとし ての抽出はできない 2015/1/29ネットワーク パケットを読む会(仮) 19
- 20. Wireshark Display Filter Reference http://www.wireshark.org/docs/dfref/ 2015/1/29ネットワーク パケットを読む会(仮) 20
- 21. キャプチャからのデータ抽出が目的なら NetworkMinor が便利 パケット キャプチャと同時に自動的に ファイル抽出を行ってくれる PCAP ファイルを読み込ませて抽出させる こともできる 入手は : http://www.netresec.com/?page=NetworkM iner 2015/1/29ネットワーク パケットを読む会(仮) 21
- 24. Wireshark User‘s Guide http://www.wireshark.org/docs/ wsug_html_chunked/ Wireshark Wiki http://wiki.wireshark.org/FrontPage Wireshark University http://www.wiresharktraining.com/ 2015/1/29ネットワーク パケットを読む会(仮) 24