現役ペンテスト技術者が選ぶ 使えるセキュリティツール(24) 「ただのパケットモニタリングツールではない −Wireshark(2)」 | ScanNetSecurity
2024.03.29(金)

現役ペンテスト技術者が選ぶ 使えるセキュリティツール(24) 「ただのパケットモニタリングツールではない −Wireshark(2)」

 このコーナーでは、現役のペネトレーションテスト技術者が、使えるセキュリティツールを、ペンテストの現場の視点から紹介します。

特集 特集
 このコーナーでは、現役のペネトレーションテスト技術者が、使えるセキュリティツールを、ペンテストの現場の視点から紹介します。

◇名称: Wireshark(2)
◇配布制限: フリーウェア
◇商用版の有無: 無
◇類似ツール: Packetyzer
◇DL URL: http://www.wireshark.org/
◇対応OS: Windows系OS、Unix系OS、OSX
◇分野: ネットワークプロトコル分析
◇コマンド一覧:

(1)基本項目と概要

 前回は、「Wireshark」の概要、パケットのキャプチャまでを紹介させていただいた。パケット分析を行う上で最も重要なのは、必要な情報を素早く正確に抽出することである。そのため、「tcpdump」の回でも紹介したフィルタ機能が「Wireshark」でも重要ということである。

(2)コマンドサンプル

 パケットのフィルタ書式は残念ながら「tcpdump」とは異なり「Wireshark」独自のものなっている。詳しいフィルタ書式については

http://www.space-peace.com/ethereal/check/ethereal_check_9.htm

を参照いただきたい。

 紹介したサイトにもある通り、フィルタ方法には、「キャプチャフィルタ」と「ディスプレイフィルタ」というものがある。前者は、あらかじめ指定したフィルタ条件にマッチしたパケットのみをキャプチャするため、目的のパケットのパターンがはっきりしている場合は有効であると言える。しかし、フィルタ条件が完全でなければ、必要としているキャプチャすべきパケットを思わぬところで取得漏れするという結果を招く可能性が高いといえる。したがって、キャプチャしたいパケットのプロトコルが「HTTPのみ」や、宛先ポートが「TCP/23」のみといったような限定的なものではない限り、使わないほうが得策かもしれない。

 それとは逆に、「ディスプレイフィルタ」は一旦キャプチャしたパケットの中から、抽出したいパケットのみを表示するものである。

 実際、パケットを分析し始めると思いもよらない発見をする場合がある。そのようなことを考慮すると、フィルタを行う際には、「ディスプレイフィルタ」を用いることがベターであると言えるだろう。

(3)使用例とTIPS、検査者の視点から

 当然、多くのパケットをキャプチャすると、キャプチャしているマシンのリソースを消費する。

 「Wireshark」では、キャプチャしたパケットをファイルで保存し、再度、分析したいときには「Wireshark」でその保存ファイルを読み込むことで分析を再開できる。

 その際に、ファイルサイズが大きいことでロードに時間がかなりかかる場合もある。このように聞くと、「「キャプチャフィルタ」を採用したほうがいいのではないか?」と思われるだろう。しかし、キャプチャ漏れは、パケット分析において最も避けなければならない事態である。それに対する、現実解として、一度、リソースを消費するという犠牲を払い、必要なパケットだけを区分けして保存するという方法がある。

 その方法の一例を以下に示す…

【執筆:NTTデータ・セキュリティ株式会社 辻 伸弘】

【関連記事】
現役ペンテスト技術者が選ぶ 使えるセキュリティツール(21)「パケットには真実がある − パケットモニタリング系ツール」
https://www.netsecurity.ne.jp/3_11732.html
現役ペンテスト技術者が選ぶ 使えるセキュリティツール(22)「パケットモニタリングツールの王道 −tcpdump」
https://www.netsecurity.ne.jp/3_11765.html
現役ペンテスト技術者が選ぶ 使えるセキュリティツール(23)ただのパケットモニタリングツールではない −Wireshark(1)
https://www.netsecurity.ne.jp/3_11940.html
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内 http://www.ns-research.jp/cgi-bin/ct/p.cgi?w02_ssw

《ScanNetSecurity》

特集

PageTop

アクセスランキング

  1. 富士通の複数の業務パソコンにマルウェア、個人情報を含むファイルを不正に持ち出せる状態に

    富士通の複数の業務パソコンにマルウェア、個人情報を含むファイルを不正に持ち出せる状態に

  2. ランサムウェアに身代金を支払う傾向の強い組織の構造が明らかに

    ランサムウェアに身代金を支払う傾向の強い組織の構造が明らかに

  3. プロ e スポーツ選手のアカウントにハッキング

    プロ e スポーツ選手のアカウントにハッキング

  4. 日東製網へのランサムウェア攻撃、約 1 ヶ月で全システム復旧

    日東製網へのランサムウェア攻撃、約 1 ヶ月で全システム復旧

  5. 総務省「無線LANセキュリティガイドライン」更新、自宅と公衆に分冊

    総務省「無線LANセキュリティガイドライン」更新、自宅と公衆に分冊

  6. 時給7,500円 ~ 総務省、非常勤サイバーセキュリティ人材募集 月2時間 霞が関勤務

    時給7,500円 ~ 総務省、非常勤サイバーセキュリティ人材募集 月2時間 霞が関勤務

  7. 脆弱性診断の新たな選択肢「ちょうどいいレベルの診断」を AeyeScan活用でサービス化 ~ NTTデータ先端技術

    脆弱性診断の新たな選択肢「ちょうどいいレベルの診断」を AeyeScan活用でサービス化 ~ NTTデータ先端技術PR

  8. 早稲田スポーツ新聞会のホームページがウイルス感染、意図せずファイルがダウンロードされる被害

    早稲田スポーツ新聞会のホームページがウイルス感染、意図せずファイルがダウンロードされる被害

  9. Meta 社へ申請するも復旧困難と判断、乗っ取り被害の「池袋エリアプラットフォーム」の Facebook ページ削除

    Meta 社へ申請するも復旧困難と判断、乗っ取り被害の「池袋エリアプラットフォーム」の Facebook ページ削除

  10. Jenkins に任意のファイルの読み取りが可能となるコマンドラインインターフェース機能におけるアクセス制御不備の脆弱性(Scan Tech Report)

    Jenkins に任意のファイルの読み取りが可能となるコマンドラインインターフェース機能におけるアクセス制御不備の脆弱性(Scan Tech Report)

ランキングをもっと見る