COD2013「ネットワークパケット解析・基本の基本」

© Murachi Akira / Community Open Day 20131

ネットワークパケット解析

基本の基本 2013 年 5 月 11 日

Community Open Day 2013

11 May 2013

About me

• 村地　彰（ aka hebikuzure ）– 株式会社シーピーエス代表取締役– Twitter : @hebikuzure– Facebook : https://www.facebook.com/amurachi– Web site : http://www.hebikuzure.com/– Blog : http://hebikuzure.wordpress.com/– Mail :

11 May 2013 © Murachi Akira / Community Open Day 20132

ネットワークパケットを読む会 ( 仮 )

• ネットワークパケットの読解を通じて、ネットワークやプロトコル、セキュリティーについて学ぶ勉強会

• 1 ～ 2 ヶ月に 1 回のペースで、東京都内 ( 主に銀座近辺 ) で開催しています

• 次回開催予定5 月 24 日 19:00 ～ 20:45http://atnd.org/events/39536



はじめに

• このセッションは、 4 月 19 日開催第 14 回「ネットワークパケットを読む会 ( 仮 ) 」で行った「フレッシャーズのためのパケット解析入門」を一部改訂したものです

11 May 2013

「パケット」とは何 ?

• パケット通信方式における情報の伝送単位

じゃ、「パケット通信方式」って何 ?• 連続データを一定量ずつ蓄積して 1 個の

伝送単位にして、伝送路の空いているタイミングで送出、受信したデータを元の連続データに復元する方式11 May 2013 © Murachi Akira / Community Open Day 20135

つまりこういうこと ?

• 連続データ • パケット

• 11 May 2013 © Murachi Akira / Community Open Day 20136

パケットの特徴• 上位プロトコルのパケットが下位プロト

コルのパケット中に「カプセル化」される


パケット解析とは

1. パケットをキャプチャする2. キャプチャしたパケットを上位のプ

ロトコルごとにその内容を解析する–プロトコル自体の解析–最終的にやりとりされるアプリケー

ションデータの解析


パケットキャプチャとは• パケット 1 つ 1 つに含まれるデータ

を記録する

• パケットに含まれるデータ–送信先–送信元–サイズ（パケット長）–データの種類（上位プロトコル）


キャプチャされる場所

アプリケーション層プレゼンテーション

層セッション層

トランスポート層ネットワーク層データリンク層

物理層11 May 2013 © Murachi Akira / Community Open Day 201310

別の見方

アプリケーション層

トランスポート層

インターネット層

リンク層


パケットキャプチャの手法

パケットをキャプチャする場所

対象デバイス内対象デバイス外

パケットをキャプチャする方法

ハードウェアソフトウェア


対象デバイス内でのキャプチャ• オペレーティングシステムに付属する

ツールを利用する– Linux / Unix 環境なら tcpdump

• オペレーティングシステムベンダー提供のツールを利用する– Windows 環境なら netcap / Network Monitor

• サードパーティのツールを利用する– Wireshark / OmniPeek / NetworkMiner / ……


対象デバイス外でのキャプチャ• ミラーポート• タップ• プロキシやゲートウェイでのキャプ

チャ• 通信の対向側（サーバー側）での

キャプチャ


ツールにもいろいろある• コマンドラインツール– tcpdump, netcap, tshark （ Wireshark のコマン

ド版）など– 動作が軽快、バッチ処理などに向く

• GUI ツール– Wireshark, Network Monitor, OmniPeek,

NetworkMiner など– 設定が分かりやすい、結果がすぐに確認でき

る– その場で解析が可能


ダウンロードリンク• Wireshark– http://www.wireshark.org/

• Microsoft Network Monitor– http://www.microsoft.com/en-us/download/

details.aspx?id=4865• NetworkMiner– http://www.netresec.com/?page=NetworkMiner


データの形式• キャプチャデータの保存形式はさまざ

ま–キャプチャする環境–利用するツール

• 良く利用される形式– libpcap 形式（拡張子 pcap ）–Wireshark 新形式（拡張子 pcapng ）–Network Monitor 形式（拡張子 cap ）


どんなデータが記録されるのか• パケット全体のバイナリデータ• 記録した時刻• キャプチャしたインターフェイス• トラフィックを発生させたプロセス



重要な注意事項

• 自分が管理している以外のネットワーク、他者が接続しているネットワークでのパケットキャプチャを、管理者・利用者の承認なしに行わないこと• 解析して得られた情報は悪用厳禁

11 May 2013

DEMO

• Wireshark を使ったパケットキャプチャ


DEMO

• Network Monitor を使ったパケットキャプチャ

11 May 2013 © Murachi Akira / Community Open Day 2013 21

DEMO

• NetworkMiner を使ったパケットキャプチャ

11 May 2013 © Murachi Akira / Community Open Day 2013 22

パケット解析• 基本的にはツールを利用–Wireshark / Network Monitor / OmniPeek /

NetworkMiner などなど

• 力技で独自解析–pcap などのフォーマットは公開されて

いるので、独自にバイナリ解析


DEMO

• Wireshark を使ったパケット解析


DEMO

• Network Monitor を使ったパケット解析


DEMO

• NetworkMiner を使ったパケット解析


おすすめ参考書• 実践パケット解析– http://www.oreilly.co.jp/books/9784873115696/

• パケットキャプチャ入門– http://www.ric.co.jp/book/contents/book_875.html

• パケットキャプチャ実践技術– http://www.ric.co.jp/book/contents/book_796.html

• 現場で使えるパケット解析テクニック– http://ascii.asciimw.jp/books/books/detail/978-4-

7561-5018-9.shtml11 May 2013 © Murachi Akira / Community Open Day 201327

COD2013「ネットワーク パケット解析・基本の基本」

Documents

COD2013「ネットワークパケット解析・基本の基本」