Mais conteúdo relacionado
Semelhante a Hokkaido.cap#7 ケーススタディ(セキュリティ解析:前編) (20)
Hokkaido.cap#7 ケーススタディ(セキュリティ解析:前編)
- 4. 今日の進め方
• 「実践パケット解析 第9章 ケーススタディ
(セキュリティ解析)」の内容をベースに進めま
す。本書をお持ちの方は演習に合わせて参照
してください。
(スライドには概要のみ記載しています)
• 気付いた点やわからない点があれば自由に
ディスカッションしましょう。
4
- 6. OSのフィンガープリント (1/3)
• サンプルファイル : osfingerprinting.pcap
• ICMP通信が記録されているキャプチャファイル
ICMP
- 一般的には使用されない 「Timestamp request」
「Timestamp reply」 「Address mask request」
「Information request」 などが記録されている。
6
- 7. OSのフィンガープリント (2/3)
• OS Finger Print とは
OS
- 標的ホストのOSを推測する方法の一つ。
- OSごとのTCP/IPの実装に関する特徴(TCPの
初期シーケンス番号やFINパケットに関する
応答、ICMPのメッセージなど)から、OSの種
類を推測する。
7
- 9. 参考 : ICMP タイプ一覧
タイプ 説明 タイプ 説明
0 エコー応答 (Echo Reply) 13 タイムスタンプ
3 宛先到達不能 (Timestamp)
(Destination Unreachable) 14 タイムスタンプ応答
4 発信元抑制 (Source Quench) (Timestamp Reply)
5 リダイレクト (Redirect) 15 インフォメーション要求
(Information Request)
8 エコー要求 (Echo Request)
16 インフォメーション応答
9 ルータ通知 (Information Reply)
(Router Advertisement)
17 アドレスマスク要求
10 ルータ要求 (Router Solicitation) (Address Mask Request)
11 時間超過 (Time Exceeded) 18 アドレスマスク応答
12 パラメータ問題 (Address Mask Reply)
(Parameter Problem)
http://www.iana.org/assignments/icmp-parameters/icmp-parameters.xml
9
- 10. ポートスキャン (1/1)
• サンプルファイル : portscan.pcap
• ポートスキャン(通信可能なTCP、UDPのポート
を探す)の一部を抜粋したキャプチャファイル
- Telnet、microsoft-ds、FTP、SMTPなど攻撃がしやす
いポートに対して行われることが多い。
10
- 11. 参考 : ポートスキャンの種類
• 代表的なポートスキャナ「nmap」を使用した例
- TCP SYN スキャン : nmap_SYN_scan.pcap
» nmap -sS -A -v <hostname>
- TCP SYN スキャン (All TCP ports) :
nmap_SYN-All_scan.pcap
» nmap -sS -p 1-65535 -A -v <hostname>
- TCP FIN スキャン : nmap_FIN_scan.pcap
» nmap -sF -A -v <hostname>
- UDP スキャン : nmap_UDP_scan.pcap
» nmap -sU -A -v <hostname>
11
- 12. プリンタの氾濫 (1/2)
• サンプルファイル : printerproblem.pcap
• プリンタからおかしなものが印刷される
- プリンタサーバでキャプチャを開始。
- プリンタサーバ(10.100.16.15)は特定のクライアント
(10.100.17.47)から大量にSPOOLパケットを受信し
ている。
12
- 18. この演習のまとめ
• フィンガープリントやポートスキャンやなどの不
正侵入を試みる通信が、Wiresharkでどのよう
に見えるか確認しました。
• 大量のキャプチャデータから目的のパケットを
絞り込む方法「ディスプレイフィルタ」の使い方
を学びました。
• 次回も引き続きセキュリティ解析のケースを学
習しましょう。
18
- 19. 参考資料
• 実践パケット解析 - Wiresharkを使ったトラブル
シューティング
- http://www.oreilly.co.jp/books/9784873113517/
- ISBN978-4-87311-351-7
• ICMPを使って対象サイトのOSを特定する「Xprobe」
- http://itpro.nikkeibp.co.jp/members/ITPro/SEC_CHECK/20010921/1/
• Nmap - Free Security Scanner For Network Exploration &
Security Audits.
- http://nmap.org/
19