Contenu connexe Similaire à Wireshark入門(4) (20) Wireshark入門(4)4. WinPcap 4.1 以降のバージョンでは NPF
サービスが自動起動に設定されます
• [管理者として実行] しなくてもパケット キャプ
チャができます
• 自動起動で問題がある場合は、以下のレジストリ
キーで設定が変更できます
HKLMSYSTEMCurrentControlSetservices
NPFStart
0x1 : SERVICE_SYSTEM_START
0x2 : SERVICE_AUTO_START
0x3 : SERVICE_DEMAND_START
2015/2/23ネットワーク パケットを読む会(仮)
4
5. How To Set Up a Capture
http://wiki.wireshark.org/CaptureSetup
Security
http://wiki.wireshark.org/Security
Platform-Specific information about
capture privileges
http://wiki.wireshark.org/CaptureSetup/Cap
turePrivileges
2015/2/23ネットワーク パケットを読む会(仮)
5
15. PCAP (libpcap / WinPcap)
• パケット キャプチャー モジュール
• 実際にパケットを取り出しているのはこちら
Wireshrak
• パケット解析ツール
• PCAP でキャプチャーされたデータを解析して可
視化、ファイル化
2015/2/23ネットワーク パケットを読む会(仮)
15
16. libpcap
• Unix / Linux 系システム用の実装
• ディストリビューションに含まれているか、リポ
ジトリからインストール可能
• http://www.tcpdump.org/
WinPcap
• libpcap の Windows への移植版
• Wireshark と同時にインストールされる
• http://www.winpcap.org/
2015/2/23ネットワーク パケットを読む会(仮)
16
24. WinPcap の Remote Capture を使う
SSH などでリモート接続して tcpdump を
起動、ローカル側に出力させる
その他のエージェントをインストールする
2015/2/23ネットワーク パケットを読む会(仮)
24
25. WinPcap にはリモート キャプチャー サー
ビスが同梱されている
• %ProgramFiles(x86)% WinPcap rpcapd.exe
• ソースからコンパイルすれば Unix / Linux でも可
参考
• https://www.winpcap.org/docs/docs_40_2/html/gro
up__remote.html
• http://kinshachi.ddo.jp/blog/comp/archives/000841
.html
2015/2/23ネットワーク パケットを読む会(仮)
25
26. [Capture] – [Options] – [Manage Interface]
[Remote Interface] タブに切り替えて [Add]
[Host] と [Port] を設定
2015/2/23ネットワーク パケットを読む会(仮)
26
27. % touch tmp.pcap
% tail -f tmp.pcap | wireshark -k -S -i –
% ssh -C (hostname) 'sudo tcpdump
-U -n -i eth0 -w -' >
tmp.pcap
• http://qiita.com/k-
kawa@github/items/7bade882a91ace367878
• http://blogs.yahoo.co.jp/nickname_say2/35637694
.html
2015/2/23ネットワーク パケットを読む会(仮)
27
28. 無線 LAN の場合
• 電波は飛んでいるので受信可能
• 暗号化されている場合がある
2015/2/23ネットワーク パケットを読む会(仮)
28
29. Windows 環境では WinPcap でモニター
モードのキャプチャーができない
• 回避策: AirPcap を使う
暗号化されているとそのままでは解析でき
ない
• 回避策その1: 暗号を解読する
• 回避策その2: Man in the middle する
2015/2/23ネットワーク パケットを読む会(仮)
29
31. 一般的な公衆 Wifi で利用される WPA/PSK
の場合、Wifi に接続すればテンポラリー
キーが取得でき、キーが取得できれば解読
できる
WEP はパスフレーズが分かっていれば解
読できる
自分が接続できるアクセスポイントの通信
は解読可能
2015/2/23ネットワーク パケットを読む会(仮)
31
33. 無線 LAN の傍受や MITM
有線 LAN ではARP キャッシュ ポイゾニン
グ
いずれも「ひそかに」「こっそりと」キャ
プチャーできる
2015/2/23ネットワーク パケットを読む会(仮)
33