現役ペンテスト技術者が選ぶ 使えるセキュリティツール(24) 「ただのパケットモニタリングツールではない −Wireshark(2)」 | ScanNetSecurity
2021.06.20(日)

現役ペンテスト技術者が選ぶ 使えるセキュリティツール(24) 「ただのパケットモニタリングツールではない −Wireshark(2)」

 このコーナーでは、現役のペネトレーションテスト技術者が、使えるセキュリティツールを、ペンテストの現場の視点から紹介します。

特集 特集
 このコーナーでは、現役のペネトレーションテスト技術者が、使えるセキュリティツールを、ペンテストの現場の視点から紹介します。

◇名称: Wireshark(2)
◇配布制限: フリーウェア
◇商用版の有無: 無
◇類似ツール: Packetyzer
◇DL URL: http://www.wireshark.org/
◇対応OS: Windows系OS、Unix系OS、OSX
◇分野: ネットワークプロトコル分析
◇コマンド一覧:

(1)基本項目と概要

 前回は、「Wireshark」の概要、パケットのキャプチャまでを紹介させていただいた。パケット分析を行う上で最も重要なのは、必要な情報を素早く正確に抽出することである。そのため、「tcpdump」の回でも紹介したフィルタ機能が「Wireshark」でも重要ということである。

(2)コマンドサンプル

 パケットのフィルタ書式は残念ながら「tcpdump」とは異なり「Wireshark」独自のものなっている。詳しいフィルタ書式については

http://www.space-peace.com/ethereal/check/ethereal_check_9.htm

を参照いただきたい。

 紹介したサイトにもある通り、フィルタ方法には、「キャプチャフィルタ」と「ディスプレイフィルタ」というものがある。前者は、あらかじめ指定したフィルタ条件にマッチしたパケットのみをキャプチャするため、目的のパケットのパターンがはっきりしている場合は有効であると言える。しかし、フィルタ条件が完全でなければ、必要としているキャプチャすべきパケットを思わぬところで取得漏れするという結果を招く可能性が高いといえる。したがって、キャプチャしたいパケットのプロトコルが「HTTPのみ」や、宛先ポートが「TCP/23」のみといったような限定的なものではない限り、使わないほうが得策かもしれない。

 それとは逆に、「ディスプレイフィルタ」は一旦キャプチャしたパケットの中から、抽出したいパケットのみを表示するものである。

 実際、パケットを分析し始めると思いもよらない発見をする場合がある。そのようなことを考慮すると、フィルタを行う際には、「ディスプレイフィルタ」を用いることがベターであると言えるだろう。

(3)使用例とTIPS、検査者の視点から

 当然、多くのパケットをキャプチャすると、キャプチャしているマシンのリソースを消費する。

 「Wireshark」では、キャプチャしたパケットをファイルで保存し、再度、分析したいときには「Wireshark」でその保存ファイルを読み込むことで分析を再開できる。

 その際に、ファイルサイズが大きいことでロードに時間がかなりかかる場合もある。このように聞くと、「「キャプチャフィルタ」を採用したほうがいいのではないか?」と思われるだろう。しかし、キャプチャ漏れは、パケット分析において最も避けなければならない事態である。それに対する、現実解として、一度、リソースを消費するという犠牲を払い、必要なパケットだけを区分けして保存するという方法がある。

 その方法の一例を以下に示す…

【執筆:NTTデータ・セキュリティ株式会社 辻 伸弘】

【関連記事】
現役ペンテスト技術者が選ぶ 使えるセキュリティツール(21)「パケットには真実がある − パケットモニタリング系ツール」
https://www.netsecurity.ne.jp/3_11732.html
現役ペンテスト技術者が選ぶ 使えるセキュリティツール(22)「パケットモニタリングツールの王道 −tcpdump」
https://www.netsecurity.ne.jp/3_11765.html
現役ペンテスト技術者が選ぶ 使えるセキュリティツール(23)ただのパケットモニタリングツールではない −Wireshark(1)
https://www.netsecurity.ne.jp/3_11940.html
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内 http://www.ns-research.jp/cgi-bin/ct/p.cgi?w02_ssw

《ScanNetSecurity》

PageTop

特集

アクセスランキング

  1. パラマウントベッド従業員の仮想デスクトップ環境がウイルス感染、過去のやりとりを装った不審メールを確認

    パラマウントベッド従業員の仮想デスクトップ環境がウイルス感染、過去のやりとりを装った不審メールを確認

  2. 富士通のプロジェクト情報共有ツールへの不正アクセス、総務省でも被害確認

    富士通のプロジェクト情報共有ツールへの不正アクセス、総務省でも被害確認

  3. スポーツクラブNASへランサムウェア攻撃、会員管理システムに障害発生

    スポーツクラブNASへランサムウェア攻撃、会員管理システムに障害発生

  4. 「糖質制限ドットコム」に不正アクセス、1年分の決済情報が流出

    「糖質制限ドットコム」に不正アクセス、1年分の決済情報が流出

  5. 富士フイルムへのランサムウェア攻撃、外部への情報流出の痕跡は確認されず

    富士フイルムへのランサムウェア攻撃、外部への情報流出の痕跡は確認されず

  6. やけど虫の駆除方法、体液が皮膚に付いてしまった場合の対策について

    やけど虫の駆除方法、体液が皮膚に付いてしまった場合の対策について

  7. クラウドの脅威はプロバイダ起因から利用者起因にシフト…CSAJの11大脅威

    クラウドの脅威はプロバイダ起因から利用者起因にシフト…CSAJの11大脅威

  8. 病院向け情報管理システム OpenClinic GA に複数の脆弱性

    病院向け情報管理システム OpenClinic GA に複数の脆弱性

  9. かくれ脱水から脱水状態に進行したときに起こるサインを解説(「教えて!「かくれ脱水」委員会)

    かくれ脱水から脱水状態に進行したときに起こるサインを解説(「教えて!「かくれ脱水」委員会)

  10. Apache HTTP Web Server 2.4 の複数の脆弱性へアップデート公開

    Apache HTTP Web Server 2.4 の複数の脆弱性へアップデート公開

ランキングをもっと見る