Enviar pesquisa
Carregar
Wireshark だけに頼らない! パケット解析ツールの紹介
•
86 gostaram
•
51,417 visualizações
morihisa
Seguir
第18回「ネットワークパケットを読む会(仮)」勉強会の発表資料です.Wireshark 以外のパケット解析ツールについて紹介しています.
Leia menos
Leia mais
Internet
Vista de apresentação de diapositivos
Denunciar
Compartilhar
Vista de apresentação de diapositivos
Denunciar
Compartilhar
1 de 31
Baixar agora
Baixar para ler offline
Recomendados
Network miner 使ってみた
Network miner 使ってみた
彰 村地
パケットキャプチャの勘どころ Ssmjp 201501
パケットキャプチャの勘どころ Ssmjp 201501
稔 小林
これがCassandra
これがCassandra
Takehiro Torigaki
CTF for ビギナーズ ネットワーク講習資料
CTF for ビギナーズ ネットワーク講習資料
SECCON Beginners
トランザクションをSerializableにする4つの方法
トランザクションをSerializableにする4つの方法
Kumazaki Hiroki
ARM CPUにおけるSIMDを用いた高速計算入門
ARM CPUにおけるSIMDを用いた高速計算入門
Fixstars Corporation
実践イカパケット解析
実践イカパケット解析
Yuki Mizuno
DSIRNLP #3 LZ4 の速さの秘密に迫ってみる
DSIRNLP #3 LZ4 の速さの秘密に迫ってみる
Atsushi KOMIYA
Recomendados
Network miner 使ってみた
Network miner 使ってみた
彰 村地
パケットキャプチャの勘どころ Ssmjp 201501
パケットキャプチャの勘どころ Ssmjp 201501
稔 小林
これがCassandra
これがCassandra
Takehiro Torigaki
CTF for ビギナーズ ネットワーク講習資料
CTF for ビギナーズ ネットワーク講習資料
SECCON Beginners
トランザクションをSerializableにする4つの方法
トランザクションをSerializableにする4つの方法
Kumazaki Hiroki
ARM CPUにおけるSIMDを用いた高速計算入門
ARM CPUにおけるSIMDを用いた高速計算入門
Fixstars Corporation
実践イカパケット解析
実践イカパケット解析
Yuki Mizuno
DSIRNLP #3 LZ4 の速さの秘密に迫ってみる
DSIRNLP #3 LZ4 の速さの秘密に迫ってみる
Atsushi KOMIYA
マイクロサービス 4つの分割アプローチ
マイクロサービス 4つの分割アプローチ
増田 亨
シリコンバレーの「何が」凄いのか
シリコンバレーの「何が」凄いのか
Atsushi Nakada
Dockerからcontainerdへの移行
Dockerからcontainerdへの移行
Kohei Tokunaga
BuildKitによる高速でセキュアなイメージビルド
BuildKitによる高速でセキュアなイメージビルド
Akihiro Suda
目grep入門 +解説
目grep入門 +解説
murachue
トランザクションの設計と進化
トランザクションの設計と進化
Kumazaki Hiroki
MagicOnion入門
MagicOnion入門
torisoup
macOSの仮想化技術について ~Virtualization-rs Rust bindings for virtualization.framework ~
macOSの仮想化技術について ~Virtualization-rs Rust bindings for virtualization.framework ~
NTT Communications Technology Development
入門 Kubeflow ~Kubernetesで機械学習をはじめるために~ (NTT Tech Conference #4 講演資料)
入門 Kubeflow ~Kubernetesで機械学習をはじめるために~ (NTT Tech Conference #4 講演資料)
NTT DATA Technology & Innovation
Pythonによる黒魔術入門
Pythonによる黒魔術入門
大樹 小倉
冬のLock free祭り safe
冬のLock free祭り safe
Kumazaki Hiroki
SAT/SMTソルバの仕組み
SAT/SMTソルバの仕組み
Masahiro Sakai
CyberChefの使い方(HamaCTF2019 WriteUp編)
CyberChefの使い方(HamaCTF2019 WriteUp編)
Shota Shinogi
MLOps入門
MLOps入門
Hiro Mura
Yahoo! JAPANのコンテンツプラットフォームを支えるSpring Cloud Streamによるマイクロサービスアーキテクチャ #jsug #sf_52
Yahoo! JAPANのコンテンツプラットフォームを支えるSpring Cloud Streamによるマイクロサービスアーキテクチャ #jsug #sf_52
Yahoo!デベロッパーネットワーク
え、まって。その並列分散処理、Kafkaのしくみでもできるの? Apache Kafkaの機能を利用した大規模ストリームデータの並列分散処理
え、まって。その並列分散処理、Kafkaのしくみでもできるの? Apache Kafkaの機能を利用した大規模ストリームデータの並列分散処理
NTT DATA Technology & Innovation
Pcapngを読んでみる
Pcapngを読んでみる
Yagi Shinnosuke
Java Clientで入門する Apache Kafka #jjug_ccc #ccc_e2
Java Clientで入門する Apache Kafka #jjug_ccc #ccc_e2
Yahoo!デベロッパーネットワーク
Micrometer/Prometheusによる大規模システムモニタリング #jsug #sf_26
Micrometer/Prometheusによる大規模システムモニタリング #jsug #sf_26
Yahoo!デベロッパーネットワーク
エンジニアの個人ブランディングと技術組織
エンジニアの個人ブランディングと技術組織
Takafumi ONAKA
Mais conteúdo relacionado
Mais procurados
マイクロサービス 4つの分割アプローチ
マイクロサービス 4つの分割アプローチ
増田 亨
シリコンバレーの「何が」凄いのか
シリコンバレーの「何が」凄いのか
Atsushi Nakada
Dockerからcontainerdへの移行
Dockerからcontainerdへの移行
Kohei Tokunaga
BuildKitによる高速でセキュアなイメージビルド
BuildKitによる高速でセキュアなイメージビルド
Akihiro Suda
目grep入門 +解説
目grep入門 +解説
murachue
トランザクションの設計と進化
トランザクションの設計と進化
Kumazaki Hiroki
MagicOnion入門
MagicOnion入門
torisoup
macOSの仮想化技術について ~Virtualization-rs Rust bindings for virtualization.framework ~
macOSの仮想化技術について ~Virtualization-rs Rust bindings for virtualization.framework ~
NTT Communications Technology Development
入門 Kubeflow ~Kubernetesで機械学習をはじめるために~ (NTT Tech Conference #4 講演資料)
入門 Kubeflow ~Kubernetesで機械学習をはじめるために~ (NTT Tech Conference #4 講演資料)
NTT DATA Technology & Innovation
Pythonによる黒魔術入門
Pythonによる黒魔術入門
大樹 小倉
冬のLock free祭り safe
冬のLock free祭り safe
Kumazaki Hiroki
SAT/SMTソルバの仕組み
SAT/SMTソルバの仕組み
Masahiro Sakai
CyberChefの使い方(HamaCTF2019 WriteUp編)
CyberChefの使い方(HamaCTF2019 WriteUp編)
Shota Shinogi
MLOps入門
MLOps入門
Hiro Mura
Yahoo! JAPANのコンテンツプラットフォームを支えるSpring Cloud Streamによるマイクロサービスアーキテクチャ #jsug #sf_52
Yahoo! JAPANのコンテンツプラットフォームを支えるSpring Cloud Streamによるマイクロサービスアーキテクチャ #jsug #sf_52
Yahoo!デベロッパーネットワーク
え、まって。その並列分散処理、Kafkaのしくみでもできるの? Apache Kafkaの機能を利用した大規模ストリームデータの並列分散処理
え、まって。その並列分散処理、Kafkaのしくみでもできるの? Apache Kafkaの機能を利用した大規模ストリームデータの並列分散処理
NTT DATA Technology & Innovation
Pcapngを読んでみる
Pcapngを読んでみる
Yagi Shinnosuke
Java Clientで入門する Apache Kafka #jjug_ccc #ccc_e2
Java Clientで入門する Apache Kafka #jjug_ccc #ccc_e2
Yahoo!デベロッパーネットワーク
Micrometer/Prometheusによる大規模システムモニタリング #jsug #sf_26
Micrometer/Prometheusによる大規模システムモニタリング #jsug #sf_26
Yahoo!デベロッパーネットワーク
エンジニアの個人ブランディングと技術組織
エンジニアの個人ブランディングと技術組織
Takafumi ONAKA
Mais procurados
(20)
マイクロサービス 4つの分割アプローチ
マイクロサービス 4つの分割アプローチ
シリコンバレーの「何が」凄いのか
シリコンバレーの「何が」凄いのか
Dockerからcontainerdへの移行
Dockerからcontainerdへの移行
BuildKitによる高速でセキュアなイメージビルド
BuildKitによる高速でセキュアなイメージビルド
目grep入門 +解説
目grep入門 +解説
トランザクションの設計と進化
トランザクションの設計と進化
MagicOnion入門
MagicOnion入門
macOSの仮想化技術について ~Virtualization-rs Rust bindings for virtualization.framework ~
macOSの仮想化技術について ~Virtualization-rs Rust bindings for virtualization.framework ~
入門 Kubeflow ~Kubernetesで機械学習をはじめるために~ (NTT Tech Conference #4 講演資料)
入門 Kubeflow ~Kubernetesで機械学習をはじめるために~ (NTT Tech Conference #4 講演資料)
Pythonによる黒魔術入門
Pythonによる黒魔術入門
冬のLock free祭り safe
冬のLock free祭り safe
SAT/SMTソルバの仕組み
SAT/SMTソルバの仕組み
CyberChefの使い方(HamaCTF2019 WriteUp編)
CyberChefの使い方(HamaCTF2019 WriteUp編)
MLOps入門
MLOps入門
Yahoo! JAPANのコンテンツプラットフォームを支えるSpring Cloud Streamによるマイクロサービスアーキテクチャ #jsug #sf_52
Yahoo! JAPANのコンテンツプラットフォームを支えるSpring Cloud Streamによるマイクロサービスアーキテクチャ #jsug #sf_52
え、まって。その並列分散処理、Kafkaのしくみでもできるの? Apache Kafkaの機能を利用した大規模ストリームデータの並列分散処理
え、まって。その並列分散処理、Kafkaのしくみでもできるの? Apache Kafkaの機能を利用した大規模ストリームデータの並列分散処理
Pcapngを読んでみる
Pcapngを読んでみる
Java Clientで入門する Apache Kafka #jjug_ccc #ccc_e2
Java Clientで入門する Apache Kafka #jjug_ccc #ccc_e2
Micrometer/Prometheusによる大規模システムモニタリング #jsug #sf_26
Micrometer/Prometheusによる大規模システムモニタリング #jsug #sf_26
エンジニアの個人ブランディングと技術組織
エンジニアの個人ブランディングと技術組織
Wireshark だけに頼らない! パケット解析ツールの紹介
1.
2014年7月4日ネットワークパケットを読む会(仮)第18回発表資料 Wireshark だけに頼らない! パケット解析ツールの紹介 @k_morihisa
2.
$ whoami • 名前:森久
和昭 • Twitter:@k_morihisa • 情報セキュリティエンジニア・アナリスト • 趣味でハニーポットを観察してます http://www.morihi-soc.net/ ! • 第10回「ネットワークパケットを読む会(仮)」 何が変わった!? Wireshark 1.8 http://www.slideshare.net/morihisa/wireshark-18 2
3.
パケット好きですか?
4.
ご注文は Wireshark ですか? •
デモ 4
5.
Wireshark がやられたようだな... 5
6.
困った(́・ω・`) • Wireshark 自体の脆弱性を突いたパケットを 含むファイルの解析をする場合 ! •
巨大なファイルサイズのパケット解析をする場合 ! • そもそも,GUI 環境でない場合 ! • 楽しくパケット解析したい 6
7.
つまり 誤:ご注文は Wireshark ですか? ! 正:ご注文はパケット解析ツールですか? 7
8.
様々なパケット解析ツール • GUI編 ! • CUI編 ! •
Wireshark ファミリー編 ! • おまけ 8
9.
GUI編 • Network Miner •
Xplico 9
10.
Network Miner • パケットからデータ収集できるツール ! •
公式サイト http://www.netresec.com/?page=NetworkMiner 10
11.
Network Miner 11 pcapを ドラッグ&ドロップ インターフェースを指定して リアルタイムキャプチャ
12.
Network Miner • 抽出したファイルはフォルダに保存される •
NetworkMinerAssembledFilesホスト毎 ! • 有料版もある • pcapng 形式ファイルの解析ができる • CSV/Excel でデータ出力ができる • コマンドライン版が使える 等 12
13.
Xplico • Web インターフェースを持つパケット解析ツール •
複数人でのトラフィックデータの共有に向いている ! • 公式サイト • http://www.xplico.org/ 13
14.
Xplico 14
15.
Xplico • インストールや使い方は wiki
参照 • http://wiki.xplico.org/ ! • デフォルトポート:9876/tcp →FW の ACL 注意 • デフォルトユーザ:admin / xplico →パスワード変更 ! • 最も簡単な使い方 1. ケースを作成 2. セッションを作成 3. pcap アップロード / リアルタイムキャプチャ 15
16.
Xplico • いろいろ解析してくれる • Web •
Email • FTP • DNS 等 ! • 解析には負荷がかかる →巨大なファイルだと時間がかかる 16
17.
СUI編 • tcpdump • tcpflow •
tcpslice 17
18.
tcpdump • パケットキャプチャといえば tcpdump ! •
公式 • http://www.tcpdump.org/ ! ! • 初心者もう使いこなしている人たちばかりだと 思うので,今回は省略 18
19.
tcpflow • 送信元先 IP/port
のセッションごとに分割 ! • GitHub tcpflow • https://github.com/simsong/tcpflow 19
20.
tcpflow • 簡単な使い方 • キャプチャファイルを読み込む $
tcpflow [-c] -r キャプチャファイル フィルタ ! • ライブキャプチャ $ tcpflow [-c] -i インターフェース フィルタ ! • 重要 • -c オプションをつけるとディスプレイ表示のみ • つけないと,セッション内容はファイルに保存 20
21.
tcpflow • -c オプションを忘れるとこうなる 21 \ や べ え /
22.
tcpslice • 時間を指定してパケットを切り出すツール ! • GitHub
tcpslice • https://github.com/the-tcpdump-group/tcpslice 22
23.
tcpslice • 使い方 $ tcpslice
-r パケットファイル →開始時間と終了時間を普通の日時で表示 ! $ tcpslice -t パケットファイル →開始時間と終了時間を ymdhmsu 方式で表示 ! $ tcpslice -d ymdhmsu +秒数 パケットファイル →開始と終了の UNIX 時間が表示 ! $ tcpslice -w 保存ファイル名 開始時間 終了時間 元ファイル →UNIX 時間で指定 23
24.
tcpslice • こんな感じで切り出しができます. 24
25.
Wireshark も使いたい
26.
Program Files を開いてみよう •
たくさん exe がありますね. • 少しだけ紹介します. 26
27.
Wireshark ファミリー編 • capinfos.exe •
キャプチャファイルの情報を表示 • pcap や pcapng 等の確認に役立つ ! • editcap.exe • キャプチャファイルを分割 • パケット数で分割したり,pcap - pcapng 変換 ! • mergecap.exe • キャプチャファイルを統合 27
28.
キャプチャプログラム使いどころ • wireshark.exe • GUI
でパケットキャプチャと解析ができる ! • tshark.exe • CUI でパケットキャプチャと解析ができる ! • dumpcap.exe • CUI でパケットキャプチャできる.早い 28
29.
おまけ • VirusTotal • https://www.virustotal.com/ja/ •
ファイルをアップロードすると,マルウェア対策 ソフトでの検出状況を確認可能 ! • キャプチャファイルも解析してくれる • Snort や Suricata といった IDS の検知状況が 確認できる 29
30.
参考 • ネットワークトラブルシューティングツール(書籍) • http://www.oreilly.co.jp/books/4873110807/ ! •
SecTools • http://sectools.org/ ! • Probably the Best Free Security List in the World • http://www.techsupportalert.com/content/ probably-best-free-security-list-world.htm 30
31.
ありがとうございました
Baixar agora