現役ペンテスト技術者が選ぶ 使えるセキュリティツール(23) ただのパケットモニタリングツールではない −Wireshark(1) | ScanNetSecurity
2024.04.25(木)

現役ペンテスト技術者が選ぶ 使えるセキュリティツール(23) ただのパケットモニタリングツールではない −Wireshark(1)

 このコーナーでは、現役のペネトレーションテスト技術者が、使えるセキュリティツールを、ペンテストの現場の視点から紹介します。

特集 特集
facebookLINE
 このコーナーでは、現役のペネトレーションテスト技術者が、使えるセキュリティツールを、ペンテストの現場の視点から紹介します。

◆名称: Wireshark
◆配布制限: フリーウェア
◆商用版の有無: 無
◆類似ツール: Packetyzer
◆DL URL: http://www.wireshark.org/
◆対応OS: Windows系OS、Unix系OS、OSX
◆分野: ネットワークプロトコル分析
◆コマンド一覧:

(1) 基本項目と概要

 前回は、パケットモニタリングの王道「tcpdump」を紹介させていただいた。今回紹介する「Wireshark」は単独でも使えるツールではるが、「tcpdump」と非常に相性のよいツールである。

 この「Wireshark」だがソフトの名称が一度変更されている。変更される以前は「Ethereal」という名前で愛されてきたツールである。Webで情報を検索する際、現在は、この名前のほうがヒット数が多いため調べモノの際には旧名称で検索することをお勧めする。
(「ethereal」での検索結果 約 11,100,000 件
 「wireshark」 の検索結果 約 1,650,000 )

 さて、この「Wireshark」、「分野」としては「ネットワークプロトコル分析」と書かせていただいた。これは、冒頭でも述べた通り単独でも相当使えるツールで、パケットモニタリングを行うこともできるのだが、「tcpdump」がCUIであることに対し、GUIの強みを活かした分析機能を持ち、開発本家がパケットスニッファ、パケットキャプチャという名称ではなく、「network protocol analyzer」と呼称しているためである。

(2)コマンドサンプル

 それでは、早速動かしてみよう。
(Windowsで動作させる場合「Winpcap」などの「Wireshark」の動作に必要なものは、Windows用インストーラに付属している。)

 まずは、最も基本的な部分として、パケットキャプチャの開始方法を紹介する。

 「Wireshark」を起動したら、メニューの「Capture」から「Options」を選択するとキャプチャに関する設定を行うウインドウが表示される。

図1:キャプチャに関する設定を行うウインドウ
https://www.netsecurity.ne.jp/images/article/ws-options.jpg

 ここでは、どのNICへのパケットをキャプチャするか、その表示方法、フィルタ条件などを指定することができる。

 とりあえず、キャプチャを開始するだけであれば、どのNICでキャプチャするかの設定箇所である、「Interface」を設定するだけでよいだろう。

 好みの問題としては、「Display Options」(表示方法)や「Name Resolution」(名前解決)、「StopCapture」(保存する期間やサイズの制限)などを適宜設定するとよいだろう。また、表示されるパケットが多い中で目的のパケットのみを表示したいということであれば、「CaptureFilter」を利用するという手もある。もちろん、フィルタに関してはキャプチャ中、キャプチャ後でも可能であるため、まずは、様子見をしてからというのも一つの方法だろう。

 ちなみに筆者の場合は、リアルタイムに見る機会が多いため、「Display Option」の「Update list of packetsin real time」をオンにし、キャプチャされる度にスクロールされるとパケットを確認しづらいため、「Automaticscrolling in live capture」はオフにしている。

 設定が完了したら、「Start」ボタンをクリックすることでキャプチャが開始される。

図2:
https://www.netsecurity.ne.jp/images/article/ws-run.jpg

 キャプチャを開始するとウインドウ内に色々な文字列が表示されるだろう。表示される場所によってそれぞれ下記の通り意味がある。

図3:
https://www.netsecurity.ne.jp/images/article/ws-window.jpg

<1>
この部分には、キャプチャしたパケットの番号や日付、送信元、送信先、プロトコルと簡単なインフォメーションが表示される。分析を行う場合、まず、ここでどのようなパケットが流れているのかを確認し、詳細情報を追いかけていくこととなる。

<2>
この部分には、<1>に表示されているパケットを選択することで詳細情報を表示することができる。

<3>
この部分には<1>で選択されたパケットの内容すべてが表示される。表示には16進表記と文字列表示が可能な文字列についてはASCII文字列の両方が表示される。

基本的な使い方は以上である。

(3)使用例とTIPS、検査者の視点から

 「tcpdump」と比べ、非常にユーザフレンドリーで、パケットを取得し、眺める程度であればすぐにでも利用できそうだという印象を受けたのではないだ
ろうか。

 おそらくその印象は…

【執筆:NTTデータ・セキュリティ株式会社 辻 伸弘】

【関連記事】
現役ペンテスト技術者が選ぶ 使えるセキュリティツール(21)
「パケットには真実がある − パケットモニタリング系ツール」
https://www.netsecurity.ne.jp/3_11732.html
現役ペンテスト技術者が選ぶ 使えるセキュリティツール(22)
「パケットモニタリングツールの王道 −tcpdump」
https://www.netsecurity.ne.jp/3_11765.html
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内 http://www.ns-research.jp/cgi-bin/ct/p.cgi?w02_ssw

《ScanNetSecurity》

特集

PageTop

アクセスランキング

  1. 訃報:セキュリティの草分けロス・アンダーソン氏 死去 67 歳、何回分かの生涯に匹敵する業績

    訃報:セキュリティの草分けロス・アンダーソン氏 死去 67 歳、何回分かの生涯に匹敵する業績

  2. 社員のセキュリティ意欲高める施策とは? 罰則は逆効果 ~ プルーフポイント「2024 State of the Phish」日本語版公表

    社員のセキュリティ意欲高める施策とは? 罰則は逆効果 ~ プルーフポイント「2024 State of the Phish」日本語版公表

  3. LINEヤフー委託先への不正アクセス、報告書を受け 2 度目の行政指導

    LINEヤフー委託先への不正アクセス、報告書を受け 2 度目の行政指導

  4. スペシャリスト集結! マネーフォワード・ラック・富士ソフト・電通総研から学ぶ、脆弱性診断内製化の成功法則とは? AeyeScan 導入企業との公開対談

    スペシャリスト集結! マネーフォワード・ラック・富士ソフト・電通総研から学ぶ、脆弱性診断内製化の成功法則とは? AeyeScan 導入企業との公開対談PR

  5. Acompany で 4 件の Google フォーム誤設定、最大 164 名の個人情報が閲覧可能に

    Acompany で 4 件の Google フォーム誤設定、最大 164 名の個人情報が閲覧可能に

  6. セキュリティにおける効果は実感できるのか ~ SECURITY ACTION 宣言「得られた効果はない」最多

    セキュリティにおける効果は実感できるのか ~ SECURITY ACTION 宣言「得られた効果はない」最多

  7. NDIソリューションズの RAG サービスに不正アクセス、個人情報を格納するサービスへの痕跡は確認されず

    NDIソリューションズの RAG サービスに不正アクセス、個人情報を格納するサービスへの痕跡は確認されず

  8. 笛吹市商工会へのサポート詐欺被害、調査結果公表

    笛吹市商工会へのサポート詐欺被害、調査結果公表

  9. 情報処理学会、高等学校情報科の全教科書の用語リスト公開

    情報処理学会、高等学校情報科の全教科書の用語リスト公開

  10. 「相鉄ポイント」引き継ぎで会員情報を取り違え、他の顧客の個人情報が閲覧可能に

    「相鉄ポイント」引き継ぎで会員情報を取り違え、他の顧客の個人情報が閲覧可能に

ランキングをもっと見る
ホーム 特集 特集 記事
TOP