実際に流れているデータを見てみよう

実際に流れているデータを見てみよう

パケットキャプチャとパケット解析

about hebikuzure

2

村地　彰　 aka hebikuzure [email protected] @hebikuzure http://www.hebikuzure.com/ http://hebikuzure.wordpress.com/ http://d.hatena.ne.jp/hebikuzure/ Microsoft MVP

(Client Operating System, Internet Explorer)

ネットワークパケットを読む会（仮） 2011/9/17

ネットワークのおさらい

ネットワークパケットを読む会（仮）3 2011/9/17

レイヤとプロトコル7. アプリケーション層

HTTP, DHCP, SMTP, SNMP, FTP, Telnet, AFP, X.500

6. プレゼンテーション層 SMTP, SNMP, FTP, Telnet, AFP

5. セッション層 TLS, NetBIOS, NWLink, DSI, ADSP, ZIP, ASP, PAP, 名前付きパイプ

4. トランスポート層 TCP, UDP, SCTP, SPX, NetBEUI, RTMP, AURP, NBP, ATP, AEP

3. ネットワーク層 IP, ARP, RARP, ICMP, IPX, NetBEUI, DDP, AARP

2. データリンク層イーサネット , トークンリング , アークネット , PPP, フレームリレー

1. 物理層 RS-232, RS-422, 電話線 , UTP, ハブ , リピータ , 無線 , 光ケーブル


ネットワークキャプチャ広義には、ネットワークを流れる生（未加工）のデー

タを特定のレイヤでデータとして取得・ファイル化する事です取得するレイヤーにより確認・調査できる内容が異なります

「ネットワークトレース」と呼ぶ場合もあります

例 HTTP キャプチャパケットキャプチャ

「パケットキャプチャ」と同じ意味で使われる場合も多くあります


HTTP キャプチャツールの例　 Fiddler

2011/9/17ネットワークパケットを読む会（仮）6

パケットキャプチャ別称「パケットダンプ」ネットワークを流れるパケット単位のバイナリ

データを取得・保存しますデータリンク層（または物理層）でキャプチャしま

すソフトウェアのダンプツールは一般的にネットワーク

デバイスに対するドライバとして動作します


ダンプした生のバイナリデータ


ネットワーク解析ネットワークキャプチャしたデータを可視化して

分析する手法です利用されているプロトコルを推定します（既知のポート、

パターンマッチなどの手法が利用されます）プロトコルに応じたデータ構造をバイナリに適用しますバイナリを可視化します

ネットワークキャプチャ / 解析の別称「ネットワークスニフィング」


バイナリデータ

プロトコルの

可視化

プロトコル解析データ

パーサー


プロトコル解析されて可視化されたデータ


ネットワーク解析の目的ネットワークとアプリケーションの正常動作の確認ネットワークとアプリケーションの監視ネットワークトラフィック分析問題の調査

発生状況の確認発生トリガーの確認原因の追究

ネットワークプロトコルの学習


パケット解析パケットダンプに対する解析データリンク層（ Ethernet レベル）からアプリ

ケーション層まで、すべてのレイヤでの現象が調査できます


パケット解析のツール「ダンプ（キャプチャ）」の機能と「解析」の両方

の機能が必用です多くのソフトウェアツールは両方の機能を持って

います

専用のハードウェア（アプライアンス）もあります

ソフトウェアのツール、ハードウェア共に「ネットワークアナライザ」などと呼ばれます


色々な呼び方ネットワークアナライザ LAN アナライザパケットアナライザネットワークスニファネットワークモニタ


コマンドラインツール tcpdump Windump netcap


GUI ツール OmniPeek Sniffer Portable ClearSight Xplico Pacmon Wireshark Microsoft Network Monitor


パケットを採取する場所自分自身が宛先 / 送信元のパケット

自分自身でキャプチャを実行すれば OK 「他の PC が宛先 / 送信元のパケット」と同じ方法で他

の PC でキャプチャすることもできます（負荷が問題になる場合、ツールがインストールできない場合など）

他の PC が宛先 / 送信元のパケット同一コリジョンドメイン内でキャプチャを実行

→ って、最近はスイッチングハブ使ってますねどこかでネットワークデータを横取りしてキャプチャ

する必要がありますねそこで「その他の道具」の出番です




その他の道具類リピータハブミラーポート付きスイッチングハブネットワークタップ 2 つ以上のネットワークインターフェイスを持つ

PC（ブリッジを構成します）

ARP スプーフィングツール Cain & Abel （ http://www.oxid.it/cain.html ）


まず注意事項自分が所有・管理しているネットワークでキャプ

チャする場合お好きにどうぞ

他人が所有・管理しているネットワークでキャプチャする場合自分宛 / 自分発以外のパケットのキャプチャは傍受です

傍受した内容を第三者に明かすと通信の秘密の侵害です

傍受した情報を不正に利用してはいけません所有者・管理者が接続を認めている以外の機器をネット

ワークに接続してはいけません必要に応じて所有者・管理者の許可・了解を取りましょ

うネットワークパケットを読む会（仮）22 2011/9/17

パケット解析をしてみよう無償で利用できるネットワークアナライザ

Wireshark http://www.wireshark.org/ Mac OS X, AIX, BSD, FreeBSD, NetBSD,

OpenBSD, HP-UX, Linux, SunOS/Solaris, Windows

Microsoft Network Monitor http://support.microsoft.com/kb/933741/

en-us Windows


Wireshark の画面


Microsoft Network Monitor の画面


Wireshark のインストール Windows / Mac OS X の場合

http://www.wireshark.org/download.html からインストーラーをダウンロードしてインストール

Linux などの場合 http://www.wireshark.org/download.html からソー

スコードをダウンロードして自分でビルドリポジトリからパッケージを見つけてインストール


インストールについての注意事項最新バージョンを利用しましょう

セキュリティ修正が含まれます古いバージョンは攻撃対象になります

Windows 環境では同梱の WinPcap を利用しましょう同梱の WinPcap と同じバージョンがすでにインス

トールされている場合は、 WinPcap のインストールはスキップできます


WinPcap の注意事項 WinPcap 4.1 以降のバージョンではキャプチャの

ための NPF サービスが自動起動に設定されます [ 管理者として実行 ] しなくてもパケットキャプチャが

できます

自動起動で問題がある場合は、以下のレジストリキーで設定が変更できますHKLM\SYSTEM\CurrentControlSet\services\NPF\Start 0x1 : SERVICE_SYSTEM_START 0x2 : SERVICE_AUTO_START 0x3 : SERVICE_DEMAND_START


参考情報 How To Set Up a Capture

http://wiki.wireshark.org/CaptureSetup Security

http://wiki.wireshark.org/Security Platform-Specific information about

capture privilegeshttp://wiki.wireshark.org/CaptureSetup/CapturePrivileges


参考図書実践パケット解析

O'Reilly Japan http://www.oreilly.co.jp/books/9784873113517/

パケットキャプチャ実践技術リックテレコム http://www.ric.co.jp/book/contents/book_796.html

パケットキャプチャ入門改訂版リックテレコム http://www.ric.co.jp/book/contents/book_875.html

現場で使えるパケット解析テクニックアスキー http://ascii.asciimw.jp/books/books/detail/978-4-7561-

5018-9.shtmlネットワークパケットを読む会（仮）30 2011/9/17

Microsoft Network Monitor のインストール略称 Netmon 最新版は ver. 3.4 ダウンロードセンターからダウンロードしてイン

ストール http://www.microsoft.com/download/en/

details.aspx?id=4865 サポート OS

Windows 7, Windows Vista Service Pack 1, Windows Vista 64-bit Editions Service Pack 1, Windows XP 64-bit, Windows XP Service Pack 3

Windows Server 2003 Service Pack 2, Windows Server 2003 Service Pack 2 x64 Edition, Windows Server 2008, Windows Server 2008 R2, Windows Server 2008 R2 for Itanium-based Systems


インストールについての注意事項アップグレードの際は旧バージョンのインスタンス

をすべて終了します本体とパーサーそれぞれのインストーラーが続けて

動作するので、両方とも完了しますインストール後、 Microsoft Update で更新プログ

ラムが提供されていないか確認し、必要ならインストールしますセキュリティホールは攻撃対象になります


参考情報 Microsoft Network Monitor を使ってみよう

http://www.microsoft.com/japan/powerpro/TF/column/am_01_1.mspx

Information about Network Monitor 3 http://support.microsoft.com/kb/933741/en-us

Using Network Monitor with the Microsoft Office and SharePoint Products Parsers http://msdn.microsoft.com/en-us/library/

hh372964.aspx ネットワーク・モニタ 3.1 を使う（基本編）

http://www.atmarkit.co.jp/fwin2k/win2ktips/857netmon3/netmon3.html


キャプチャの手法1. ネットワーク上の適切な場所でツールを起動しま

す2. 必要に応じてツールの設定をします

プロミスキャスモードの設定キャプチャフィルタの設定

3. キャプチャを開始します4. ネットワークアクティビティを発生します

キャプチャしたい一連の事象を再現します再現性のある障害の場合は、再現手順を実行します

5. キャプチャを停止します6. データを保存します


プロミスキャスモード自分宛のデータパケット以外の信号も取り込んで処

理をする、ネットワークカードの動作モード Wireshark や Netmon を利用するとプロミスキャス

モードに設定できます通常は、プロミスキャスモードへの変更には管理者の権限（ Administrators, root ）が必要です

セキュリティ的な問題動作としてネットワーク管理者が監視している場合もあります PromiScan などの検知ツールがあります


プロミスキャスモード


キャプチャフィルタ条件を設定して、それに合致するパケットのみキャ

プチャする機能です設定できる条件の例

特定の MAC アドレス（ Source, Destination ）特定の IP アドレス（ Source, Destination ）特定のポート番号特定のプロトコル

どのようなパケットを採取すれば良いかわからない場合は、キャプチャフィルタを適用しないで採取します


事象の再現ネットワークトラフィックが確実にキャプチャで

きるよう注意しますキャプチャしている場所をトラフィックが必ず通過する

ようルーティングなどを確認キャッシュなどローカルの一時ファイルが利用されない

よう、クリアしておく余分なトラフィックが発生しないように注意します

事象の再現に必要ない操作をしない他のプロセスをできるかぎり終了しておく他のプロセスで自動的なネットワークアクセスが発生

しないよう一時的に設定を変更する


キャプチャしたパケットの解析ディスプレイフィルタで絞り込む

特定の MAC アドレス（ Source, Destination ）特定の IP アドレス（ Source, Destination ）特定のポート番号特定のプロトコル各プロトコルごとの詳細な動作（バージョン、サービス

名、ヘッダー、エラー、認証など）プロトコルの自動解析結果を確認し、必要に応じて

手動でプロトコルを指定するミクロ的、マクロ的分析を行う


ディスプレイフィルタ既定のフィルタが用意されています

Wireshark : [Analyze] – [Display Filter] Netmon : [Filter] – [Display Filter] – [Load

Filter] フィルタをカスタマイズしたり、新規に作成できま

す Wireshark : [Filter] ボックスに記述

（ [Expression] ボタンでビルダーが起動します）

Netmon : [Display Filter] ウィンドウに記述（入力補助機能が利用できます）

作成したフィルタを保存して、再利用できます


プロトコルの自動解析各レイヤーごとのプロトコルが解析されます既知のポートやパターンマッチなどの方法でプロ

トコルを推定します推定したプロトコルの仕様に従って、バイナリ

データが可視化されます

パーサーの定義（プロトコル解析データ）を新規に作成する事も可能です Wireshark : Lua （ http://www.lua.org/ ）で記述し

ます Netmon : npl （ C# っぽい言語）で記述します


自動解析の限界正しく解析されない場合も多い

特にトランスポート層で既定のポート以外を使い通信を行っている場合

ex. 81 番ポートで HTTP 443 番ポート以外での HTTPS


プロトコルの手動指定プロトコルのデフォルトのポートを使用していない

トラフィックは正しいプロトコルが推測されない場合が多い

キャプチャ内容などからプロトコルが分かる場合は、手動でプロトコルを指定して表示させることができる Wireshark : フレームを右クリックして [Decode

As] Netmon : [Hex Details] ウィンドウで指定する範囲を

選択して [Decode As]


ミクロ的分析個々のパケット（フレーム）ごと、個々のスト

リームごと、個々のセッションごとの内容を確認、調査してネットワークやプログラムの挙動を調査します

向いている目的特定の明確な事象（エラーの発生、不正な結果、接続不

能など）に対する調査特定のアプリケーションの挙動の調査特定のタイミングで発生する現象の調査


マクロ的分析パケット（フレーム）の全体、または特定の条件で抽出した部分に対して、統計的手法で分析します

向いている目的全般的なトラブル（パフォーマンスの低下、断続的な接続不良、ランダムな事象）の調査

トラフィックのトレンド分析特異なトラフィックの調査正常時と異常時の比較によるネットワークの健全性の調

査


マクロ的分析 : プロトコル階層別分析


マクロ的分析 : IO グラフ


マクロ的分析 : スループットグラフ


DEMO キャプチャしてみるキャプチャしたデータを見てみるキャプチャしたデータからダウンロードされたコン

テンツを取り出す


「ネットワークパケットを読む会 ( 仮 ) 」ネットワークパケット解析についての勉強会です年 4～ 5回のペースで都内で開催しています

http://pa.hebikuzure.com/ http://groups.google.com/group/packetreading #pakeana

次回SynAck Caputure Nite 2011ネットワークパケットを読む会（仮）＋Hokkaido.cap＋ NetAgent パケットキャプチャ勉強会合同勉強会

次々回10月～ 11月に開催予定


SynAck Caputure Nite 2011 2011年 9月 21日 (水 ) 19:00 - 21:00 ネットエージェント株式会社セミナールーム

（墨田区江東橋 4-26-5 東京トラフィック錦糸町ビル9F ）

内容永続的パケットキャプチャノススメ (杉浦　隆幸さん ) DEFCON CTF で戦ったパケットを見て攻撃を解析

(ghetto2199 さん ) 会場にてビアバッシュによる懇親会 (21:00 ～ 22:00)

参加申込受付 ATND http://atnd.org/events/19434 からお申し込みくだ

さい（残念ながら定員オーバーしています）


ありがとうございました


「ネットワークパケットを読む会（仮）」へのご参加をお待ちしております

Technology

実際に流れているデータを見てみよう