第25回「ネットワークパケットを読む会 (仮)」のセッション用スライドです

1. Wireshark は「覗き見ソフト」なのか
2015/2/23
Murachi Akira aka hebikuzure
This material provided by CC BY-NC-ND 4.0. See http://creativecommons.org/licenses/by-nc-nd/4.0/

2. 公式サイトからダウンロードしてインス
トールしましょう
http://www.wireshark.org/
2015/2/23ネットワーク パケットを読む会(仮)
2

3. 最新バージョンを利用しましょう
• セキュリティ修正が含まれます
• 古いバージョンは攻撃対象になります
• 現在の最新版は 1.12.3 (2015/1/7 リリース)
Windows 環境では同梱の WinPcap を利用
しましょう
2015/2/23ネットワーク パケットを読む会(仮)
3

4. WinPcap 4.1 以降のバージョンでは NPF
サービスが自動起動に設定されます
• [管理者として実行] しなくてもパケット キャプ
チャができます
• 自動起動で問題がある場合は、以下のレジストリ
キーで設定が変更できます
HKLMSYSTEMCurrentControlSetservices
NPFStart
 0x1 : SERVICE_SYSTEM_START
 0x2 : SERVICE_AUTO_START
 0x3 : SERVICE_DEMAND_START
2015/2/23ネットワーク パケットを読む会(仮)
4

5. How To Set Up a Capture
http://wiki.wireshark.org/CaptureSetup
Security
http://wiki.wireshark.org/Security
Platform-Specific information about
capture privileges
http://wiki.wireshark.org/CaptureSetup/Cap
turePrivileges
2015/2/23ネットワーク パケットを読む会(仮)
5

6. Wireshark User‘s Guide
http://www.wireshark.org/docs/
wsug_html_chunked/
Wireshark Wiki
http://wiki.wireshark.org/FrontPage
Wireshark University
http://www.wiresharktraining.com/
2015/2/23ネットワーク パケットを読む会(仮)
6

7. 2015/2/23ネットワーク パケットを読む会(仮)
7
http://blog.livedoor.jp/ninji/archives/42761250.html

8. 2015/2/23ネットワーク パケットを読む会(仮)
8
http://dictionary.goo.ne.jp/leaf/jn2/171940/m0u/

9. 2015/2/23ネットワーク パケットを読む会(仮)
9
http://dictionary.goo.ne.jp/leaf/jn2/171943/m0u/

10. 装置を用いて物体を見る
ひそかにようすをうかがう。
また、隠しごとや秘密にしている物などを
こっそりと見る。
2015/2/23ネットワーク パケットを読む会(仮)
10

11. Wireshark は
「ひそかに」「こっそりと」
『隠しごとや秘密にしている』情報を
相手に知られる事なく見ることができるのか
2015/2/23ネットワーク パケットを読む会(仮)
11

12. Wireshark で
「ひそかに」「こっそりと」
他人が『隠している』『秘密にしている』
通信のパケットを
相手に知られる事なくキャプチャー / 解析
できるのか
2015/2/23ネットワーク パケットを読む会(仮)
12

13.  Wireshark で「覗き見」ができるとしても、それを
目的としたソフトウェアでないことは自明です
 その上で、Wireshark で「覗き見」と呼ぶに相応
しいことができるのか、できるとしたらどのよ
うなことができるのか、を考えてみました
 発表内容を実際に実行することを推奨するもの
ではありません。また実際に実行した場合に法
令に基づき処罰される可能性が無いことを保証
するものではありません。
2015/2/23ネットワーク パケットを読む会(仮)
13

14. 2015/2/23ネットワーク パケットを読む会(仮)
14
アプリケーション層
プレゼンテーション層
セッション層
トランスポート層
ネットワーク層
データリンク層
物理層
アプリケーション
層
トランスポート層
インターネット層
ネットワーク
インターフェイス層
OSI 参照モデル TCP/IP
PCAPの動作層

15. PCAP (libpcap / WinPcap)
• パケット キャプチャー モジュール
• 実際にパケットを取り出しているのはこちら
Wireshrak
• パケット解析ツール
• PCAP でキャプチャーされたデータを解析して可
視化、ファイル化
2015/2/23ネットワーク パケットを読む会(仮)
15

16. libpcap
• Unix / Linux 系システム用の実装
• ディストリビューションに含まれているか、リポ
ジトリからインストール可能
• http://www.tcpdump.org/
WinPcap
• libpcap の Windows への移植版
• Wireshark と同時にインストールされる
• http://www.winpcap.org/
2015/2/23ネットワーク パケットを読む会(仮)
16

17. リピータハブの場合
• コリジョン ドメイン内には同じデータが送られる
• NIC をプロミスキャスモードにするだけ
2015/2/23ネットワーク パケットを読む会(仮)
17

18. スイッチング ハブの場合
• 宛先が接続されているポート以外にトラフィック
が流れないのでキャプチャーできない
2015/2/23ネットワーク パケットを読む会(仮)
18

19. ミラー ポート付きハブを使う
タップを挿入する
• 自分が管理しているネットワークでなければ物理
的なクラッキング
ARP キャッシュ ポイゾニング
送信元 / 送信先クライアントでエージェン
トを動作させる
• 送信元 / 送信先クライアントのユーザー (管理者)
の承諾なしに動作させるとクラッキング
2015/2/23ネットワーク パケットを読む会(仮)
19

20. I-O DATA BX-MR1
http://www.iodata.jp/product/lan/hub/bx-mr/
Allied Telesis CentreCOM FS808TP V1
https://www.allied-
telesis.co.jp/products/list/switch/fs808tpv1/
catalog.html
2015/2/23ネットワーク パケットを読む会(仮)
20

21. 愛三の取り扱い製品
http://www.aisan.co.jp/products/network-
tap.html
Net Optics 社
http://www.netoptics.jp/製品/%20ネット
ワーク・タップ
2015/2/23ネットワーク パケットを読む会(仮)
21

22. 「ひそかに」「こっそりと」他人が『隠し
ている』『秘密にしている』通信のパケッ
トを相手に知られる事なくキャプチャー /
解析できる
ただし「覗き見」というよりはれっきとし
た「盗聴」
2015/2/23ネットワーク パケットを読む会(仮)
22

23. 手法として「ARPスプーフィング」とも言う
ARP のリクエストに対して偽装した応答
を返し、本来の宛先 (例えばデフォルト
ゲートウェイ) に成り済ます
例えばデフォルト ゲートウェイに成り済
ませば、外部への通信をすべてキャプ
チャーできる
2015/2/23ネットワーク パケットを読む会(仮)
23

24. WinPcap の Remote Capture を使う
SSH などでリモート接続して tcpdump を
起動、ローカル側に出力させる
その他のエージェントをインストールする
2015/2/23ネットワーク パケットを読む会(仮)
24

25. WinPcap にはリモート キャプチャー サー
ビスが同梱されている
• %ProgramFiles(x86)% WinPcap rpcapd.exe
• ソースからコンパイルすれば Unix / Linux でも可
参考
• https://www.winpcap.org/docs/docs_40_2/html/gro
up__remote.html
• http://kinshachi.ddo.jp/blog/comp/archives/000841
.html
2015/2/23ネットワーク パケットを読む会(仮)
25

26. [Capture] – [Options] – [Manage Interface]
[Remote Interface] タブに切り替えて [Add]
[Host] と [Port] を設定
2015/2/23ネットワーク パケットを読む会(仮)
26

27. % touch tmp.pcap
% tail -f tmp.pcap | wireshark -k -S -i –
% ssh -C (hostname) 'sudo tcpdump
-U -n -i eth0 -w -' >
tmp.pcap
• http://qiita.com/k-
kawa@github/items/7bade882a91ace367878
• http://blogs.yahoo.co.jp/nickname_say2/35637694
.html
2015/2/23ネットワーク パケットを読む会(仮)
27

28. 無線 LAN の場合
• 電波は飛んでいるので受信可能
• 暗号化されている場合がある
2015/2/23ネットワーク パケットを読む会(仮)
28

29. Windows 環境では WinPcap でモニター
モードのキャプチャーができない
• 回避策: AirPcap を使う
暗号化されているとそのままでは解析でき
ない
• 回避策その1: 暗号を解読する
• 回避策その2: Man in the middle する
2015/2/23ネットワーク パケットを読む会(仮)
29

30. Riverbed AirPcap
http://www.riverbed.com/products/performa
nce-management-control/network-
performance-management/wireless-
packet-capture.html
• 難点: 高い (a/b/n/g フルサポート版は $698)
• 値段だけなら安い Linux マシンを用意した方が…
2015/2/23ネットワーク パケットを読む会(仮)
30

31. 一般的な公衆 Wifi で利用される WPA/PSK
の場合、Wifi に接続すればテンポラリー
キーが取得でき、キーが取得できれば解読
できる
WEP はパスフレーズが分かっていれば解
読できる
自分が接続できるアクセスポイントの通信
は解読可能
2015/2/23ネットワーク パケットを読む会(仮)
31

32. アクセスポイントを作りそこに接続させる
特別な工夫なしに通信内容をすべてキャプ
チャー可能
2015/2/23ネットワーク パケットを読む会(仮)
32
http://www.asahi.com/articles/ASH2541Y3H25PTIL00B.html

33. 無線 LAN の傍受や MITM
有線 LAN ではARP キャッシュ ポイゾニン
グ
いずれも「ひそかに」「こっそりと」キャ
プチャーできる
2015/2/23ネットワーク パケットを読む会(仮)
33

34. Wireshark は「覗き見」に使える
ただし……
Wireshark は「覗き見」ソフトか?
⇒ No
道具を悪用するのは人の「罪」
2015/2/23ネットワーク パケットを読む会(仮)
34