Soumettre la recherche
Mettre en ligne
Wireshark だけに頼らない! パケット解析ツールの紹介
•
86 j'aime
•
51,435 vues
morihisa
Suivre
第18回「ネットワークパケットを読む会(仮)」勉強会の発表資料です.Wireshark 以外のパケット解析ツールについて紹介しています.
Lire moins
Lire la suite
Internet
Signaler
Partager
Signaler
Partager
1 sur 31
Télécharger maintenant
Télécharger pour lire hors ligne
Recommandé
Network miner 使ってみた
Network miner 使ってみた
彰 村地
実践イカパケット解析α
実践イカパケット解析α
Yuki Mizuno
パケットキャプチャの勘どころ Ssmjp 201501
パケットキャプチャの勘どころ Ssmjp 201501
稔 小林
Hokkaido.cap#1 Wiresharkの使い方(基礎編)
Hokkaido.cap#1 Wiresharkの使い方(基礎編)
Panda Yamaki
プログラムを高速化する話
プログラムを高速化する話
京大 マイコンクラブ
RSA暗号運用でやってはいけない n のこと #ssmjp
RSA暗号運用でやってはいけない n のこと #ssmjp
sonickun
Wiresharkの解析プラグインを作る ssmjp 201409
Wiresharkの解析プラグインを作る ssmjp 201409
稔 小林
Scapyで作る・解析するパケット
Scapyで作る・解析するパケット
Takaaki Hoyo
Recommandé
Network miner 使ってみた
Network miner 使ってみた
彰 村地
実践イカパケット解析α
実践イカパケット解析α
Yuki Mizuno
パケットキャプチャの勘どころ Ssmjp 201501
パケットキャプチャの勘どころ Ssmjp 201501
稔 小林
Hokkaido.cap#1 Wiresharkの使い方(基礎編)
Hokkaido.cap#1 Wiresharkの使い方(基礎編)
Panda Yamaki
プログラムを高速化する話
プログラムを高速化する話
京大 マイコンクラブ
RSA暗号運用でやってはいけない n のこと #ssmjp
RSA暗号運用でやってはいけない n のこと #ssmjp
sonickun
Wiresharkの解析プラグインを作る ssmjp 201409
Wiresharkの解析プラグインを作る ssmjp 201409
稔 小林
Scapyで作る・解析するパケット
Scapyで作る・解析するパケット
Takaaki Hoyo
3種類のTEE比較(Intel SGX, ARM TrustZone, RISC-V Keystone)
3種類のTEE比較(Intel SGX, ARM TrustZone, RISC-V Keystone)
Kuniyasu Suzaki
実践イカパケット解析
実践イカパケット解析
Yuki Mizuno
Pythonの理解を試みる 〜バイトコードインタプリタを作成する〜
Pythonの理解を試みる 〜バイトコードインタプリタを作成する〜
Preferred Networks
OpenStackで始めるクラウド環境構築入門(Horizon 基礎編)
OpenStackで始めるクラウド環境構築入門(Horizon 基礎編)
VirtualTech Japan Inc.
Linuxにて複数のコマンドを並列実行(同時実行数の制限付き)
Linuxにて複数のコマンドを並列実行(同時実行数の制限付き)
Hiro H.
Grafana LokiではじめるKubernetesロギングハンズオン(NTT Tech Conference #4 ハンズオン資料)
Grafana LokiではじめるKubernetesロギングハンズオン(NTT Tech Conference #4 ハンズオン資料)
NTT DATA Technology & Innovation
Wireshark入門(2)
Wireshark入門(2)
彰 村地
CTF for ビギナーズ ネットワーク講習資料
CTF for ビギナーズ ネットワーク講習資料
SECCON Beginners
ファイルシステム比較
ファイルシステム比較
NaoyaFukuda
オンラインゲームの仕組みと工夫
オンラインゲームの仕組みと工夫
Yuta Imai
Introduction to arm virtualization
Introduction to arm virtualization
Takaya Saeki
"SRv6の現状と展望" ENOG53@上越
"SRv6の現状と展望" ENOG53@上越
Kentaro Ebisawa
初心者向けCTFのWeb分野の強化法
初心者向けCTFのWeb分野の強化法
kazkiti
Format string Attack
Format string Attack
icchy
目grep入門 +解説
目grep入門 +解説
murachue
チームメイトのためにdocstringを書こう! pyconjp2019
チームメイトのためにdocstringを書こう! pyconjp2019
cocodrips
AVX-512(フォーマット)詳解
AVX-512(フォーマット)詳解
MITSUNARI Shigeo
Docker超入門
Docker超入門
VirtualTech Japan Inc.
【B-4】オープンソース開発で、フリー静的解析ツールを使ってみる
【B-4】オープンソース開発で、フリー静的解析ツールを使ってみる
Developers Summit
DockerコンテナでGitを使う
DockerコンテナでGitを使う
Kazuhiro Suga
Contenu connexe
Tendances
3種類のTEE比較(Intel SGX, ARM TrustZone, RISC-V Keystone)
3種類のTEE比較(Intel SGX, ARM TrustZone, RISC-V Keystone)
Kuniyasu Suzaki
実践イカパケット解析
実践イカパケット解析
Yuki Mizuno
Pythonの理解を試みる 〜バイトコードインタプリタを作成する〜
Pythonの理解を試みる 〜バイトコードインタプリタを作成する〜
Preferred Networks
OpenStackで始めるクラウド環境構築入門(Horizon 基礎編)
OpenStackで始めるクラウド環境構築入門(Horizon 基礎編)
VirtualTech Japan Inc.
Linuxにて複数のコマンドを並列実行(同時実行数の制限付き)
Linuxにて複数のコマンドを並列実行(同時実行数の制限付き)
Hiro H.
Grafana LokiではじめるKubernetesロギングハンズオン(NTT Tech Conference #4 ハンズオン資料)
Grafana LokiではじめるKubernetesロギングハンズオン(NTT Tech Conference #4 ハンズオン資料)
NTT DATA Technology & Innovation
Wireshark入門(2)
Wireshark入門(2)
彰 村地
CTF for ビギナーズ ネットワーク講習資料
CTF for ビギナーズ ネットワーク講習資料
SECCON Beginners
ファイルシステム比較
ファイルシステム比較
NaoyaFukuda
オンラインゲームの仕組みと工夫
オンラインゲームの仕組みと工夫
Yuta Imai
Introduction to arm virtualization
Introduction to arm virtualization
Takaya Saeki
"SRv6の現状と展望" ENOG53@上越
"SRv6の現状と展望" ENOG53@上越
Kentaro Ebisawa
初心者向けCTFのWeb分野の強化法
初心者向けCTFのWeb分野の強化法
kazkiti
Format string Attack
Format string Attack
icchy
目grep入門 +解説
目grep入門 +解説
murachue
チームメイトのためにdocstringを書こう! pyconjp2019
チームメイトのためにdocstringを書こう! pyconjp2019
cocodrips
AVX-512(フォーマット)詳解
AVX-512(フォーマット)詳解
MITSUNARI Shigeo
Docker超入門
Docker超入門
VirtualTech Japan Inc.
【B-4】オープンソース開発で、フリー静的解析ツールを使ってみる
【B-4】オープンソース開発で、フリー静的解析ツールを使ってみる
Developers Summit
DockerコンテナでGitを使う
DockerコンテナでGitを使う
Kazuhiro Suga
Tendances
(20)
3種類のTEE比較(Intel SGX, ARM TrustZone, RISC-V Keystone)
3種類のTEE比較(Intel SGX, ARM TrustZone, RISC-V Keystone)
実践イカパケット解析
実践イカパケット解析
Pythonの理解を試みる 〜バイトコードインタプリタを作成する〜
Pythonの理解を試みる 〜バイトコードインタプリタを作成する〜
OpenStackで始めるクラウド環境構築入門(Horizon 基礎編)
OpenStackで始めるクラウド環境構築入門(Horizon 基礎編)
Linuxにて複数のコマンドを並列実行(同時実行数の制限付き)
Linuxにて複数のコマンドを並列実行(同時実行数の制限付き)
Grafana LokiではじめるKubernetesロギングハンズオン(NTT Tech Conference #4 ハンズオン資料)
Grafana LokiではじめるKubernetesロギングハンズオン(NTT Tech Conference #4 ハンズオン資料)
Wireshark入門(2)
Wireshark入門(2)
CTF for ビギナーズ ネットワーク講習資料
CTF for ビギナーズ ネットワーク講習資料
ファイルシステム比較
ファイルシステム比較
オンラインゲームの仕組みと工夫
オンラインゲームの仕組みと工夫
Introduction to arm virtualization
Introduction to arm virtualization
"SRv6の現状と展望" ENOG53@上越
"SRv6の現状と展望" ENOG53@上越
初心者向けCTFのWeb分野の強化法
初心者向けCTFのWeb分野の強化法
Format string Attack
Format string Attack
目grep入門 +解説
目grep入門 +解説
チームメイトのためにdocstringを書こう! pyconjp2019
チームメイトのためにdocstringを書こう! pyconjp2019
AVX-512(フォーマット)詳解
AVX-512(フォーマット)詳解
Docker超入門
Docker超入門
【B-4】オープンソース開発で、フリー静的解析ツールを使ってみる
【B-4】オープンソース開発で、フリー静的解析ツールを使ってみる
DockerコンテナでGitを使う
DockerコンテナでGitを使う
Wireshark だけに頼らない! パケット解析ツールの紹介
1.
2014年7月4日ネットワークパケットを読む会(仮)第18回発表資料 Wireshark だけに頼らない! パケット解析ツールの紹介 @k_morihisa
2.
$ whoami • 名前:森久
和昭 • Twitter:@k_morihisa • 情報セキュリティエンジニア・アナリスト • 趣味でハニーポットを観察してます http://www.morihi-soc.net/ ! • 第10回「ネットワークパケットを読む会(仮)」 何が変わった!? Wireshark 1.8 http://www.slideshare.net/morihisa/wireshark-18 2
3.
パケット好きですか?
4.
ご注文は Wireshark ですか? •
デモ 4
5.
Wireshark がやられたようだな... 5
6.
困った(́・ω・`) • Wireshark 自体の脆弱性を突いたパケットを 含むファイルの解析をする場合 ! •
巨大なファイルサイズのパケット解析をする場合 ! • そもそも,GUI 環境でない場合 ! • 楽しくパケット解析したい 6
7.
つまり 誤:ご注文は Wireshark ですか? ! 正:ご注文はパケット解析ツールですか? 7
8.
様々なパケット解析ツール • GUI編 ! • CUI編 ! •
Wireshark ファミリー編 ! • おまけ 8
9.
GUI編 • Network Miner •
Xplico 9
10.
Network Miner • パケットからデータ収集できるツール ! •
公式サイト http://www.netresec.com/?page=NetworkMiner 10
11.
Network Miner 11 pcapを ドラッグ&ドロップ インターフェースを指定して リアルタイムキャプチャ
12.
Network Miner • 抽出したファイルはフォルダに保存される •
NetworkMinerAssembledFilesホスト毎 ! • 有料版もある • pcapng 形式ファイルの解析ができる • CSV/Excel でデータ出力ができる • コマンドライン版が使える 等 12
13.
Xplico • Web インターフェースを持つパケット解析ツール •
複数人でのトラフィックデータの共有に向いている ! • 公式サイト • http://www.xplico.org/ 13
14.
Xplico 14
15.
Xplico • インストールや使い方は wiki
参照 • http://wiki.xplico.org/ ! • デフォルトポート:9876/tcp →FW の ACL 注意 • デフォルトユーザ:admin / xplico →パスワード変更 ! • 最も簡単な使い方 1. ケースを作成 2. セッションを作成 3. pcap アップロード / リアルタイムキャプチャ 15
16.
Xplico • いろいろ解析してくれる • Web •
Email • FTP • DNS 等 ! • 解析には負荷がかかる →巨大なファイルだと時間がかかる 16
17.
СUI編 • tcpdump • tcpflow •
tcpslice 17
18.
tcpdump • パケットキャプチャといえば tcpdump ! •
公式 • http://www.tcpdump.org/ ! ! • 初心者もう使いこなしている人たちばかりだと 思うので,今回は省略 18
19.
tcpflow • 送信元先 IP/port
のセッションごとに分割 ! • GitHub tcpflow • https://github.com/simsong/tcpflow 19
20.
tcpflow • 簡単な使い方 • キャプチャファイルを読み込む $
tcpflow [-c] -r キャプチャファイル フィルタ ! • ライブキャプチャ $ tcpflow [-c] -i インターフェース フィルタ ! • 重要 • -c オプションをつけるとディスプレイ表示のみ • つけないと,セッション内容はファイルに保存 20
21.
tcpflow • -c オプションを忘れるとこうなる 21 \ や べ え /
22.
tcpslice • 時間を指定してパケットを切り出すツール ! • GitHub
tcpslice • https://github.com/the-tcpdump-group/tcpslice 22
23.
tcpslice • 使い方 $ tcpslice
-r パケットファイル →開始時間と終了時間を普通の日時で表示 ! $ tcpslice -t パケットファイル →開始時間と終了時間を ymdhmsu 方式で表示 ! $ tcpslice -d ymdhmsu +秒数 パケットファイル →開始と終了の UNIX 時間が表示 ! $ tcpslice -w 保存ファイル名 開始時間 終了時間 元ファイル →UNIX 時間で指定 23
24.
tcpslice • こんな感じで切り出しができます. 24
25.
Wireshark も使いたい
26.
Program Files を開いてみよう •
たくさん exe がありますね. • 少しだけ紹介します. 26
27.
Wireshark ファミリー編 • capinfos.exe •
キャプチャファイルの情報を表示 • pcap や pcapng 等の確認に役立つ ! • editcap.exe • キャプチャファイルを分割 • パケット数で分割したり,pcap - pcapng 変換 ! • mergecap.exe • キャプチャファイルを統合 27
28.
キャプチャプログラム使いどころ • wireshark.exe • GUI
でパケットキャプチャと解析ができる ! • tshark.exe • CUI でパケットキャプチャと解析ができる ! • dumpcap.exe • CUI でパケットキャプチャできる.早い 28
29.
おまけ • VirusTotal • https://www.virustotal.com/ja/ •
ファイルをアップロードすると,マルウェア対策 ソフトでの検出状況を確認可能 ! • キャプチャファイルも解析してくれる • Snort や Suricata といった IDS の検知状況が 確認できる 29
30.
参考 • ネットワークトラブルシューティングツール(書籍) • http://www.oreilly.co.jp/books/4873110807/ ! •
SecTools • http://sectools.org/ ! • Probably the Best Free Security List in the World • http://www.techsupportalert.com/content/ probably-best-free-security-list-world.htm 30
31.
ありがとうございました
Télécharger maintenant