現役ペンテスト技術者が選ぶ使えるセキュリティツール(21) 「パケットには真実がある　−　パケットモニタリング系ツール」

このコーナーでは、現役のペネトレーションテスト技術者が、使えるセキュリティツールを、ペンテストの現場の視点から紹介します。
今回から、何回かにわたって、tcpdumpや、Wiresharkなどに代表される、ネットワーク内を流れる通信情報を取得する、パケットモニタリング系ツールを集中して取り上げます。

(1) パケットモニタリング系ツールとは

パケットモニタリングとは、ネットワーク内を流れるTCP/IPに代表される通信情報を取得することである。

NIC（Network Interface Card）は、通常モードでは、自分宛以外の通信は、自身に到達しても破棄するという動作を行うが、プロミスキャスモード（無差別モード）というモードにすることで自分宛ではない通信も含め、自身に到達した通信すべてを受信することが可能である。

このモードを利用し、通信を取得するツールがパケットモニタリング系ツールである。パケットモニタリング系ツールは、パケットキャプチャーツール、パケット盗聴ツール、パケットアナライザー、スニッファーなどと呼称される場合があるが、今回からの記事では、便宜上、パケットモニタリング系ツールとする。

(2) その重要性

ペネトレーションテストと一言にいっても様々な手法があり、シチュエーションもある。皆さんが、ペネトレーションテストと聞いて、真っ先に連想するイメージは、やはり、ネットワーク経由からの擬似攻撃による検査を行い、検査対象のコンピュータ（サーバ、クライアント、ネットワーク機器など）に対して、侵入、情報の窃取、サービス拒否など、どの程度の被害を与えることができるのかということを測るといったものではないだろうか。そのイメージは、ほぼ、正解といってもいいだろう。

前述したとおり、ペネトレーションテストというのは様々な手法があるため、すべてがネットワーク経由で行われるわけではないが、9割以上は、ネットワーク上でなんからの通信を行っていると思っていただいて問題ない。今まで紹介してきたツールの殆どは、ネットワークを使用しているツールである。

少し余談ではあるが、インシデントレスポンスにおいてもパケットは非常に重要である。ソースアドレスなどの偽装ということは技術的に可能であるが、そこに通信が発生したいたという痕跡は必ず存在する。侵入などによって汚染されたコンピュータは、様々なファイルが改ざんされ、プロセスが隠ぺいされているなど、殆どが信用できないものである。しかし、汚染されているコンピュータへのパケット、汚染されているコンピュータからのパケットは、なんらかの意味を持っている。

すべてのパケットには、意味があり、そこには真実が存在する。

つまるところ、メールやWeb閲覧から、ペネトレーションテスト、ネットワーク調査、ネットワークを使う以上、私たちは、日常的にパケットのお世話になっているのである。パケットに始まり、パケットに終わるといっても過言ではないだろう。代表的パケットモニタリング系ツールとして下記を挙げておこう。

・tcpdump
http://www.tcpdump.org/
・Wireshark
http://www.wireshark.org/
・Snort
http://www.snort.org/
・Cain&Abel
http://www.oxid.it/cain.html

(3) 応用−パケットから見えてくるもの

値を設定し、ボタンをクリック。
コマンドを入力し、実行。
そして、結果を得る。

日常的に繰り返し行っているオペレーションだろう。

ユーザは、入出力からは、殆どパケットを意識することはないが、裏側では、確実にパケットが何かしらの働きをしてくれている。これは善意のユーザも悪意のあるユーザもである。

つまり、ネットワークを使用するツールのパケットを覗き見ることで…

【執筆：NTTデータ・セキュリティ株式会社辻伸弘】
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内 http://www.ns-research.jp/cgi-bin/ct/p.cgi?w02_ssw