現役ペンテスト技術者が選ぶ 使えるセキュリティツール(23) ただのパケットモニタリングツールではない −Wireshark(1) | ScanNetSecurity
2024.05.10(金)

現役ペンテスト技術者が選ぶ 使えるセキュリティツール(23) ただのパケットモニタリングツールではない −Wireshark(1)

 このコーナーでは、現役のペネトレーションテスト技術者が、使えるセキュリティツールを、ペンテストの現場の視点から紹介します。

特集 特集
facebookLINE
 このコーナーでは、現役のペネトレーションテスト技術者が、使えるセキュリティツールを、ペンテストの現場の視点から紹介します。

◆名称: Wireshark
◆配布制限: フリーウェア
◆商用版の有無: 無
◆類似ツール: Packetyzer
◆DL URL: http://www.wireshark.org/
◆対応OS: Windows系OS、Unix系OS、OSX
◆分野: ネットワークプロトコル分析
◆コマンド一覧:

(1) 基本項目と概要

 前回は、パケットモニタリングの王道「tcpdump」を紹介させていただいた。今回紹介する「Wireshark」は単独でも使えるツールではるが、「tcpdump」と非常に相性のよいツールである。

 この「Wireshark」だがソフトの名称が一度変更されている。変更される以前は「Ethereal」という名前で愛されてきたツールである。Webで情報を検索する際、現在は、この名前のほうがヒット数が多いため調べモノの際には旧名称で検索することをお勧めする。
(「ethereal」での検索結果 約 11,100,000 件
 「wireshark」 の検索結果 約 1,650,000 )

 さて、この「Wireshark」、「分野」としては「ネットワークプロトコル分析」と書かせていただいた。これは、冒頭でも述べた通り単独でも相当使えるツールで、パケットモニタリングを行うこともできるのだが、「tcpdump」がCUIであることに対し、GUIの強みを活かした分析機能を持ち、開発本家がパケットスニッファ、パケットキャプチャという名称ではなく、「network protocol analyzer」と呼称しているためである。

(2)コマンドサンプル

 それでは、早速動かしてみよう。
(Windowsで動作させる場合「Winpcap」などの「Wireshark」の動作に必要なものは、Windows用インストーラに付属している。)

 まずは、最も基本的な部分として、パケットキャプチャの開始方法を紹介する。

 「Wireshark」を起動したら、メニューの「Capture」から「Options」を選択するとキャプチャに関する設定を行うウインドウが表示される。

図1:キャプチャに関する設定を行うウインドウ
https://www.netsecurity.ne.jp/images/article/ws-options.jpg

 ここでは、どのNICへのパケットをキャプチャするか、その表示方法、フィルタ条件などを指定することができる。

 とりあえず、キャプチャを開始するだけであれば、どのNICでキャプチャするかの設定箇所である、「Interface」を設定するだけでよいだろう。

 好みの問題としては、「Display Options」(表示方法)や「Name Resolution」(名前解決)、「StopCapture」(保存する期間やサイズの制限)などを適宜設定するとよいだろう。また、表示されるパケットが多い中で目的のパケットのみを表示したいということであれば、「CaptureFilter」を利用するという手もある。もちろん、フィルタに関してはキャプチャ中、キャプチャ後でも可能であるため、まずは、様子見をしてからというのも一つの方法だろう。

 ちなみに筆者の場合は、リアルタイムに見る機会が多いため、「Display Option」の「Update list of packetsin real time」をオンにし、キャプチャされる度にスクロールされるとパケットを確認しづらいため、「Automaticscrolling in live capture」はオフにしている。

 設定が完了したら、「Start」ボタンをクリックすることでキャプチャが開始される。

図2:
https://www.netsecurity.ne.jp/images/article/ws-run.jpg

 キャプチャを開始するとウインドウ内に色々な文字列が表示されるだろう。表示される場所によってそれぞれ下記の通り意味がある。

図3:
https://www.netsecurity.ne.jp/images/article/ws-window.jpg

<1>
この部分には、キャプチャしたパケットの番号や日付、送信元、送信先、プロトコルと簡単なインフォメーションが表示される。分析を行う場合、まず、ここでどのようなパケットが流れているのかを確認し、詳細情報を追いかけていくこととなる。

<2>
この部分には、<1>に表示されているパケットを選択することで詳細情報を表示することができる。

<3>
この部分には<1>で選択されたパケットの内容すべてが表示される。表示には16進表記と文字列表示が可能な文字列についてはASCII文字列の両方が表示される。

基本的な使い方は以上である。

(3)使用例とTIPS、検査者の視点から

 「tcpdump」と比べ、非常にユーザフレンドリーで、パケットを取得し、眺める程度であればすぐにでも利用できそうだという印象を受けたのではないだ
ろうか。

 おそらくその印象は…

【執筆:NTTデータ・セキュリティ株式会社 辻 伸弘】

【関連記事】
現役ペンテスト技術者が選ぶ 使えるセキュリティツール(21)
「パケットには真実がある − パケットモニタリング系ツール」
https://www.netsecurity.ne.jp/3_11732.html
現役ペンテスト技術者が選ぶ 使えるセキュリティツール(22)
「パケットモニタリングツールの王道 −tcpdump」
https://www.netsecurity.ne.jp/3_11765.html
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内 http://www.ns-research.jp/cgi-bin/ct/p.cgi?w02_ssw

《ScanNetSecurity》

特集

PageTop

アクセスランキング

  1. 護衛艦いなづまの艦長、資格のない隊員を特定秘密取扱職員に指名し懲戒処分

    護衛艦いなづまの艦長、資格のない隊員を特定秘密取扱職員に指名し懲戒処分

  2. ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

    ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

  3. デジサートのEV証明書の記載フォーマットに誤り、再発行とサーバへの入れ替え呼びかけ

    デジサートのEV証明書の記載フォーマットに誤り、再発行とサーバへの入れ替え呼びかけ

  4. 社内不正 1位 情報持ち出し・2位 横領・3位 労働問題 ~ 被害企業 230 社調査

    社内不正 1位 情報持ち出し・2位 横領・3位 労働問題 ~ 被害企業 230 社調査

  5. 「意識を高揚させよう」と思い特定秘密の情報を知るべき立場にない隊員に特定秘密の情報を漏らす、懲戒処分に

    「意識を高揚させよう」と思い特定秘密の情報を知るべき立場にない隊員に特定秘密の情報を漏らす、懲戒処分に

  6. Proofpoint Blog 36回「身代金を払わない結果 日本のランサムウェア感染率減少? 感染率と身代金支払率 15 ヶ国調査 2024」

    Proofpoint Blog 36回「身代金を払わない結果 日本のランサムウェア感染率減少? 感染率と身代金支払率 15 ヶ国調査 2024」

  7. テレビ宮崎グループ会社にランサムウェア攻撃、請求書発行システムを停止

    テレビ宮崎グループ会社にランサムウェア攻撃、請求書発行システムを停止

  8. 豊島のサーバにランサムウェア攻撃、復旧済みで業務に影響なし

    豊島のサーバにランサムウェア攻撃、復旧済みで業務に影響なし

  9. 経団連、個人情報保護法に基づく漏えい報告や本人通知にリソースを割く現状を問題視

    経団連、個人情報保護法に基づく漏えい報告や本人通知にリソースを割く現状を問題視

  10. 今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

    今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

ランキングをもっと見る
ホーム 特集 特集 記事
TOP