現役ペンテスト技術者が選ぶ 使えるセキュリティツール(23) ただのパケットモニタリングツールではない −Wireshark(1) | ScanNetSecurity
2021.06.20(日)

現役ペンテスト技術者が選ぶ 使えるセキュリティツール(23) ただのパケットモニタリングツールではない −Wireshark(1)

 このコーナーでは、現役のペネトレーションテスト技術者が、使えるセキュリティツールを、ペンテストの現場の視点から紹介します。

特集 特集
 このコーナーでは、現役のペネトレーションテスト技術者が、使えるセキュリティツールを、ペンテストの現場の視点から紹介します。

◆名称: Wireshark
◆配布制限: フリーウェア
◆商用版の有無: 無
◆類似ツール: Packetyzer
◆DL URL: http://www.wireshark.org/
◆対応OS: Windows系OS、Unix系OS、OSX
◆分野: ネットワークプロトコル分析
◆コマンド一覧:

(1) 基本項目と概要

 前回は、パケットモニタリングの王道「tcpdump」を紹介させていただいた。今回紹介する「Wireshark」は単独でも使えるツールではるが、「tcpdump」と非常に相性のよいツールである。

 この「Wireshark」だがソフトの名称が一度変更されている。変更される以前は「Ethereal」という名前で愛されてきたツールである。Webで情報を検索する際、現在は、この名前のほうがヒット数が多いため調べモノの際には旧名称で検索することをお勧めする。
(「ethereal」での検索結果 約 11,100,000 件
 「wireshark」 の検索結果 約 1,650,000 )

 さて、この「Wireshark」、「分野」としては「ネットワークプロトコル分析」と書かせていただいた。これは、冒頭でも述べた通り単独でも相当使えるツールで、パケットモニタリングを行うこともできるのだが、「tcpdump」がCUIであることに対し、GUIの強みを活かした分析機能を持ち、開発本家がパケットスニッファ、パケットキャプチャという名称ではなく、「network protocol analyzer」と呼称しているためである。

(2)コマンドサンプル

 それでは、早速動かしてみよう。
(Windowsで動作させる場合「Winpcap」などの「Wireshark」の動作に必要なものは、Windows用インストーラに付属している。)

 まずは、最も基本的な部分として、パケットキャプチャの開始方法を紹介する。

 「Wireshark」を起動したら、メニューの「Capture」から「Options」を選択するとキャプチャに関する設定を行うウインドウが表示される。

図1:キャプチャに関する設定を行うウインドウ
https://www.netsecurity.ne.jp/images/article/ws-options.jpg

 ここでは、どのNICへのパケットをキャプチャするか、その表示方法、フィルタ条件などを指定することができる。

 とりあえず、キャプチャを開始するだけであれば、どのNICでキャプチャするかの設定箇所である、「Interface」を設定するだけでよいだろう。

 好みの問題としては、「Display Options」(表示方法)や「Name Resolution」(名前解決)、「StopCapture」(保存する期間やサイズの制限)などを適宜設定するとよいだろう。また、表示されるパケットが多い中で目的のパケットのみを表示したいということであれば、「CaptureFilter」を利用するという手もある。もちろん、フィルタに関してはキャプチャ中、キャプチャ後でも可能であるため、まずは、様子見をしてからというのも一つの方法だろう。

 ちなみに筆者の場合は、リアルタイムに見る機会が多いため、「Display Option」の「Update list of packetsin real time」をオンにし、キャプチャされる度にスクロールされるとパケットを確認しづらいため、「Automaticscrolling in live capture」はオフにしている。

 設定が完了したら、「Start」ボタンをクリックすることでキャプチャが開始される。

図2:
https://www.netsecurity.ne.jp/images/article/ws-run.jpg

 キャプチャを開始するとウインドウ内に色々な文字列が表示されるだろう。表示される場所によってそれぞれ下記の通り意味がある。

図3:
https://www.netsecurity.ne.jp/images/article/ws-window.jpg

<1>
この部分には、キャプチャしたパケットの番号や日付、送信元、送信先、プロトコルと簡単なインフォメーションが表示される。分析を行う場合、まず、ここでどのようなパケットが流れているのかを確認し、詳細情報を追いかけていくこととなる。

<2>
この部分には、<1>に表示されているパケットを選択することで詳細情報を表示することができる。

<3>
この部分には<1>で選択されたパケットの内容すべてが表示される。表示には16進表記と文字列表示が可能な文字列についてはASCII文字列の両方が表示される。

基本的な使い方は以上である。

(3)使用例とTIPS、検査者の視点から

 「tcpdump」と比べ、非常にユーザフレンドリーで、パケットを取得し、眺める程度であればすぐにでも利用できそうだという印象を受けたのではないだ
ろうか。

 おそらくその印象は…

【執筆:NTTデータ・セキュリティ株式会社 辻 伸弘】

【関連記事】
現役ペンテスト技術者が選ぶ 使えるセキュリティツール(21)
「パケットには真実がある − パケットモニタリング系ツール」
https://www.netsecurity.ne.jp/3_11732.html
現役ペンテスト技術者が選ぶ 使えるセキュリティツール(22)
「パケットモニタリングツールの王道 −tcpdump」
https://www.netsecurity.ne.jp/3_11765.html
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内 http://www.ns-research.jp/cgi-bin/ct/p.cgi?w02_ssw

《ScanNetSecurity》

PageTop

特集

アクセスランキング

  1. パラマウントベッド従業員の仮想デスクトップ環境がウイルス感染、過去のやりとりを装った不審メールを確認

    パラマウントベッド従業員の仮想デスクトップ環境がウイルス感染、過去のやりとりを装った不審メールを確認

  2. スポーツクラブNASへランサムウェア攻撃、会員管理システムに障害発生

    スポーツクラブNASへランサムウェア攻撃、会員管理システムに障害発生

  3. 富士通のプロジェクト情報共有ツールへの不正アクセス、総務省でも被害確認

    富士通のプロジェクト情報共有ツールへの不正アクセス、総務省でも被害確認

  4. 「糖質制限ドットコム」に不正アクセス、1年分の決済情報が流出

    「糖質制限ドットコム」に不正アクセス、1年分の決済情報が流出

  5. 富士フイルムへのランサムウェア攻撃、外部への情報流出の痕跡は確認されず

    富士フイルムへのランサムウェア攻撃、外部への情報流出の痕跡は確認されず

  6. やけど虫の駆除方法、体液が皮膚に付いてしまった場合の対策について

    やけど虫の駆除方法、体液が皮膚に付いてしまった場合の対策について

  7. クラウドの脅威はプロバイダ起因から利用者起因にシフト…CSAJの11大脅威

    クラウドの脅威はプロバイダ起因から利用者起因にシフト…CSAJの11大脅威

  8. 病院向け情報管理システム OpenClinic GA に複数の脆弱性

    病院向け情報管理システム OpenClinic GA に複数の脆弱性

  9. かくれ脱水から脱水状態に進行したときに起こるサインを解説(「教えて!「かくれ脱水」委員会)

    かくれ脱水から脱水状態に進行したときに起こるサインを解説(「教えて!「かくれ脱水」委員会)

  10. Apache HTTP Web Server 2.4 の複数の脆弱性へアップデート公開

    Apache HTTP Web Server 2.4 の複数の脆弱性へアップデート公開

ランキングをもっと見る