Más contenido relacionado La actualidad más candente (20) Similar a Pakeana 06 (20) Pakeana 063. 最新バージョンを利用しましょう
• セキュリティ修正が含まれます
• 古いバージョンは攻撃対象になります
• 現在の最新版は 1.6.4 (11/18 リリース)
環境では同梱の WinPcap を利用
Windows
しましょう
4. 4.1 以降のバージョンでは NPF
WinPcap
サービスが自動起動に設定されます
• [管理者として実行] しなくてもパケット キャプ
チャができます
• 自動起動で問題がある場合は、以下のレジストリ
キーで設定が変更できます
HKLMSYSTEMCurrentControlSetservices
NPFStart
0x1 : SERVICE_SYSTEM_START
0x2 : SERVICE_AUTO_START
0x3 : SERVICE_DEMAND_START
5. How To Set Up a Capture
http://wiki.wireshark.org/CaptureSetup
Security
http://wiki.wireshark.org/Security
Platform-Specific information about
capture privileges
http://wiki.wireshark.org/CaptureSetup/Cap
turePrivileges
6. Wireshark User‘s Guide
http://www.wireshark.org/docs/
wsug_html_chunked/
Wireshark Wiki
http://wiki.wireshark.org/FrontPage
Wireshark University
http://www.wiresharktraining.com/
7. 実践
パケット解析――Wiresharkを使った
トラブルシューティング
• http://www.oreilly.co.jp/books/9784873113517/
• ISBN978-4-87311-351-7
8. Wireshark の Export 機能を利用する
NetworkMiner を利用する
手作業で頑張る
9. [File] – [Export] – [Objects]
• HTTP, SMB, DICOM に対応
12. – [Export] – [Objects] – [HTTP]
[File]
“Save As” または “Save All” でHTTP コン
テンツを取り出す
13. – [Export] – [Objects] – [HTTP]
[File]
“Save As” でHTTP コンテンツとしてビデ
オ ファイルを取り出す
Video で再生されているので、抽
HTML5
出したファイルはそのまま mp4 動画とし
て再生できる
14. Twitter クライアントの通信データのキャ
プチャ ファイル
[File] – [Export] – [Objects] – [HTTP]
ファイルとしての抽出は可能だが、内容は
JSON なので、そのままでは簡単に読み取
れない
• アプリケーション レベルでのデータ再構成が必要
15. FTP なので Export は利用できない
• Passive モードなのでポートも不定
• そこで “227 Entering Passive Mode” を探す
• ファイル名はその次の FTP コマンド
"Request: RETR (filename.ext)" で確認できる
Passive port が指定されているので、
"tcp.port == (ポート番号)" でフィルタ
• これで目的のファイルがダウンロードされているスト
リームだけに絞り込める
TCP Stream でデータを抽出
Follow
データ形式を [Raw] にして [Save As] で保存
16. SMTP なので Export は利用できない
• データは Wireshark でリアセンブルできる
• [Edit preferences] - [Protocols] - [SMTP] で
"Reassemble SMTP DATA commands spanning
mulitple TCP segments" をオンにしておく
“SMTP”
でフィルタ
(必要に応じて IP アドレスでもフィルタ)
サーバー レスポンスを検索
"354 Enter mail, end with "." on a line by itself"
17. 直後のクライアントからのデータ フレー
ムを見つけると、フレーム詳細ペインでリ
アセンブルされているフレーム番号が確認
できる
確認したフレームを選択し、フレーム詳細
ペインで “Internet Message Format” を右
クリック、[Copy] - [Bytes] - [Printable Text
Only] でコピー
テキスト エディタにコピーしたテキスト
を貼り付けて保存
18. ファイル
サーバーに読み書きされたファ
イルを抽出できる(はず)
残念ながらSMB2に対応していない模様
20. SMB2 のストリームを見つける
• smb2.read_length / smb2.write_length で
フィルタすると見つけやすい
目的の Response を見つける
パケット詳細のペインで
SMB2->Read Response (Write Response)
を展開
Read Data (Write Data) を右クリック
Copy – Bytes – Binary Stream でコピー
バイナリ エディタに貼り付けて保存
24. キャプチャからのデータ抽出が目的なら
NetworkMinor が便利
パケット キャプチャと同時に自動的に
ファイル抽出を行ってくれる
PCAP ファイルを読み込ませて抽出させる
こともできる
入手は :
http://www.netresec.com/?page=NetworkM
iner