第18回「ネットワークパケットを読む会（仮）」勉強会の発表資料です．Wireshark 以外のパケット解析ツールについて紹介しています．

1. 2014年7月4日ネットワークパケットを読む会(仮)第18回発表資料
Wireshark だけに頼らない!
パケット解析ツールの紹介
@k_morihisa

2. $ whoami
• 名前：森久 和昭
• Twitter：@k_morihisa
• 情報セキュリティエンジニア・アナリスト
• 趣味でハニーポットを観察してます
http://www.morihi-soc.net/
!
• 第10回「ネットワークパケットを読む会（仮）」
何が変わった!? Wireshark 1.8
http://www.slideshare.net/morihisa/wireshark-18
2

3. パケット好きですか?

4. ご注文は Wireshark ですか?
• デモ
4

5. Wireshark がやられたようだな．．．
5

6. 困った(́・ω・｀)
• Wireshark 自体の脆弱性を突いたパケットを
含むファイルの解析をする場合
!
• 巨大なファイルサイズのパケット解析をする場合
!
• そもそも，GUI 環境でない場合
!
• 楽しくパケット解析したい
6

7. つまり
誤：ご注文は Wireshark ですか?
!
正：ご注文はパケット解析ツールですか?
7

8. 様々なパケット解析ツール
• GUI編
!
• CUI編
!
• Wireshark ファミリー編
!
• おまけ
8

9. GUI編
• Network Miner
• Xplico
9

10. Network Miner
• パケットからデータ収集できるツール
!
• 公式サイト
http://www.netresec.com/?page=NetworkMiner
10

11. Network Miner
11
pcapを
ドラッグ&ドロップ
インターフェースを指定して
リアルタイムキャプチャ

12. Network Miner
• 抽出したファイルはフォルダに保存される
• NetworkMinerAssembledFilesホスト毎
!
• 有料版もある
• pcapng 形式ファイルの解析ができる
• CSV/Excel でデータ出力ができる
• コマンドライン版が使える 等
12

13. Xplico
• Web インターフェースを持つパケット解析ツール
• 複数人でのトラフィックデータの共有に向いている
!
• 公式サイト
• http://www.xplico.org/
13

14. Xplico
14

15. Xplico
• インストールや使い方は wiki 参照
• http://wiki.xplico.org/
!
• デフォルトポート：9876/tcp →FW の ACL 注意
• デフォルトユーザ：admin / xplico →パスワード変更
!
• 最も簡単な使い方
1. ケースを作成
2. セッションを作成
3. pcap アップロード / リアルタイムキャプチャ
15

16. Xplico
• いろいろ解析してくれる
• Web
• Email
• FTP
• DNS 等
!
• 解析には負荷がかかる
→巨大なファイルだと時間がかかる
16

17. СUI編
• tcpdump
• tcpflow
• tcpslice
17

18. tcpdump
• パケットキャプチャといえば tcpdump
!
• 公式
• http://www.tcpdump.org/
!
!
• 初心者もう使いこなしている人たちばかりだと
思うので，今回は省略
18

19. tcpflow
• 送信元先 IP/port のセッションごとに分割
!
• GitHub tcpflow
• https://github.com/simsong/tcpflow
19

20. tcpflow
• 簡単な使い方
• キャプチャファイルを読み込む
$ tcpflow [-c] -r キャプチャファイル フィルタ
!
• ライブキャプチャ
$ tcpflow [-c] -i インターフェース フィルタ
!
• 重要
• -c オプションをつけるとディスプレイ表示のみ
• つけないと，セッション内容はファイルに保存
20

21. tcpflow
• -c オプションを忘れるとこうなる
21
＼
や
べ
え
／

22. tcpslice
• 時間を指定してパケットを切り出すツール
!
• GitHub tcpslice
• https://github.com/the-tcpdump-group/tcpslice
22

23. tcpslice
• 使い方
$ tcpslice -r パケットファイル
→開始時間と終了時間を普通の日時で表示
!
$ tcpslice -t パケットファイル
→開始時間と終了時間を ymdhmsu 方式で表示
!
$ tcpslice -d ymdhmsu +秒数 パケットファイル
→開始と終了の UNIX 時間が表示
!
$ tcpslice -w 保存ファイル名 開始時間 終了時間 元ファイル
→UNIX 時間で指定
23

24. tcpslice
• こんな感じで切り出しができます．
24

25. Wireshark も使いたい

26. Program Files を開いてみよう
• たくさん exe がありますね．
• 少しだけ紹介します．
26

27. Wireshark ファミリー編
• capinfos.exe
• キャプチャファイルの情報を表示
• pcap や pcapng 等の確認に役立つ
!
• editcap.exe
• キャプチャファイルを分割
• パケット数で分割したり，pcap - pcapng 変換
!
• mergecap.exe
• キャプチャファイルを統合
27

28. キャプチャプログラム使いどころ
• wireshark.exe
• GUI でパケットキャプチャと解析ができる
!
• tshark.exe
• CUI でパケットキャプチャと解析ができる
!
• dumpcap.exe
• CUI でパケットキャプチャできる．早い
28

29. おまけ
• VirusTotal
• https://www.virustotal.com/ja/
• ファイルをアップロードすると，マルウェア対策
ソフトでの検出状況を確認可能
!
• キャプチャファイルも解析してくれる
• Snort や Suricata といった IDS の検知状況が
確認できる
29

30. 参考
• ネットワークトラブルシューティングツール(書籍)
• http://www.oreilly.co.jp/books/4873110807/
!
• SecTools
• http://sectools.org/
!
• Probably the Best Free Security List in the World
• http://www.techsupportalert.com/content/
probably-best-free-security-list-world.htm
30

31. ありがとうございました