現役ペンテスト技術者が選ぶ 使えるセキュリティツール(25) 「ただのパケットモニタリングツールではない −Wireshark(3)」 | ScanNetSecurity
2021.06.20(日)

現役ペンテスト技術者が選ぶ 使えるセキュリティツール(25) 「ただのパケットモニタリングツールではない −Wireshark(3)」

 このコーナーでは、現役のペネトレーションテスト技術者が、使えるセキュリティツールを、ペンテストの現場の視点から紹介します。

特集 特集
 このコーナーでは、現役のペネトレーションテスト技術者が、使えるセキュリティツールを、ペンテストの現場の視点から紹介します。

◆名称: Wireshark(3)
◆配布制限: フリーウェア
◆商用版の有無: 無
◆類似ツール: Packetyzer
◆DL URL: http://www.wireshark.org/
◆対応OS: Windows系OS、Unix系OS、OSX
◆分野: ネットワークプロトコル分析
◆コマンド一覧:

(1)基本項目と概要

 前回、前々回で、「Wireshark」での、パケットキャプチャ、そして、パケット保存について紹介させていただいた。

 しかし、これだけでは、パケット分析とは呼べず、GUIの利点をあまり活かしきれいるとは言いがたい。

 そこで、今回は、分析を行う上で便利な機能をいくつか紹介させていただく。

(2)コマンドサンプル

■マーキング

 分析を行う際には、数多くのパケットをチェックすることになる。したがって、分析に役立つと思われるようなパケットも当然一つではないことも多々あるだろう。分析中に、重要なパケットを見失っては非常に非効率である。

 それを補うために、「Wireshark」では、二つのマーキング機能がある。

一つ目は、キャプチャ結果にマーキングを行う「Mark Packets(toggle)」(以下、PM)
もう一つは、時間にマーキングを行う「Set Time Reference(toggle)」(以下、TM)

である。

 PMを行うには、まず、マーキングしたいパケットを選択し、メニューバーの[Edit]→[Mark Packets(toggle)]をクリックする。([Ctrl + M]でも可能)

 すると、選択した行の色が、黒に変化する。

図1:
https://www.netsecurity.ne.jp/images/article/ws-packet_mark.jpg

 これで、視覚的に分かりやすいというだけでなく、[Edit]→[Find Next Mark]や[Find Previous Mark]とすることで、目的のパケットを発見しやすくなるという利点がある。

 また、表示しているすべてのパケットにマーキングを行うこともできるため、一旦、フィルタを行ってから、すべてのマーキングを行っておけば、フィルタを解除しても、フィルタ条件にマッチしていたパケットを見つけやすくなるという使い方も可能である。

 次に、TMだが、こちらもマーキング方法はPMと要領は同じである。マーキングを行いたい行を選択し、[Edit]→[Set Time Reference(toggle)]([Ctrl + T] でも可能)とするだけである。

 マーキングを行うという意味では、PMと同じなのだが、こちらは時間表示の面で少し異なる点がある。TMを行った場合、PMのように黒くなるなどの色の変化はないが、時間が表示される部分に[*REF*]と表示されるようになる。

図2:
https://www.netsecurity.ne.jp/images/article/ws-time_mark.jpg

 デフォルトで、時間の部分はパケットキャプチャ開始時からの時間が表示されているが、TMを設定することで、起点となるパケットからの時間のカウントを表示させることが可能となる。PMと同じく複数設定可能であり、マーキングされている場所を発見することも容易となる。


■プロトコルの割合表示

 分析する上でキャプチャされたパケットの種類(プロトコル)別に全体を把握し、その割合を知りたい場合がある。その際には、この機能が非常に重宝される機能である。

 これを表示するには、[Staticetic]→[Protocl Hierarchy]と選択する。

図3:
https://www.netsecurity.ne.jp/images/article/ws-protocol_hierarchy.jpg

 割合を表示する際には、現在、表示されているパケットが対象となるので、フィルタを行っている際にはフィルタ結果からの割合表示となる。

 筆者がこの機能を重宝した場面としては、とあるネットワークの分析を依頼されたときである。組織内のトラフィックの分析を行った欲しいという依頼だったのだが、この統計機能も分析の一つとして提出させていただいた。その際に発見したのは、図3にもあるようなIM(Instant Messenger)であった。多くのパケットの中から全体を把握し、ある種の「アタリ」をつけることにこの機能は向いていると言える。

 また、この表示結果からフィルタを適用することも可能でる。目的の結果を選択し、右クリックメニューを表示し、[Apply as Filter]→[Selected]とすればフィルタが適用される。

■グラフ

 分析を行う際には、数字での統計を見ることもよいのだが、やはり、GUIの強みを活かすという点においてグラフというものは必須ではないだろうか。すべての統計では見えないものも、時間の経過という軸を加味することで見えてくることもあると筆者は思っている。

 グラフの表示方法だが、メニューから[Staticetic]→[IO Graphs]を選択する。

https://www.netsecurity.ne.jp/images/article/ws-io_1.jpg

 しかし、これだけを見ても全体の通信の量を時系列でグラフ化しただけであり、あまり意味がない。

 そこで、ここでも…

【執筆:NTTデータ・セキュリティ株式会社 辻 伸弘】

【関連記事】
現役ペンテスト技術者が選ぶ 使えるセキュリティツール(21)
「パケットには真実がある − パケットモニタリング系ツール」
https://www.netsecurity.ne.jp/3_11732.html
現役ペンテスト技術者が選ぶ 使えるセキュリティツール(22)
「パケットモニタリングツールの王道 −tcpdump」
https://www.netsecurity.ne.jp/3_11765.html
現役ペンテスト技術者が選ぶ 使えるセキュリティツール(23)
「ただのパケットモニタリングツールではない −Wireshark(1)」
https://www.netsecurity.ne.jp/3_11940.html
現役ペンテスト技術者が選ぶ 使えるセキュリティツール(24)
「ただのパケットモニタリングツールではない −Wireshark(2)」
https://www.netsecurity.ne.jp/3_11982.html
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内 http://www.ns-research.jp/cgi-bin/ct/p.cgi?w02_ssw

《ScanNetSecurity》

PageTop

特集

アクセスランキング

  1. パラマウントベッド従業員の仮想デスクトップ環境がウイルス感染、過去のやりとりを装った不審メールを確認

    パラマウントベッド従業員の仮想デスクトップ環境がウイルス感染、過去のやりとりを装った不審メールを確認

  2. スポーツクラブNASへランサムウェア攻撃、会員管理システムに障害発生

    スポーツクラブNASへランサムウェア攻撃、会員管理システムに障害発生

  3. 富士通のプロジェクト情報共有ツールへの不正アクセス、総務省でも被害確認

    富士通のプロジェクト情報共有ツールへの不正アクセス、総務省でも被害確認

  4. 「糖質制限ドットコム」に不正アクセス、1年分の決済情報が流出

    「糖質制限ドットコム」に不正アクセス、1年分の決済情報が流出

  5. 富士フイルムへのランサムウェア攻撃、外部への情報流出の痕跡は確認されず

    富士フイルムへのランサムウェア攻撃、外部への情報流出の痕跡は確認されず

  6. やけど虫の駆除方法、体液が皮膚に付いてしまった場合の対策について

    やけど虫の駆除方法、体液が皮膚に付いてしまった場合の対策について

  7. クラウドの脅威はプロバイダ起因から利用者起因にシフト…CSAJの11大脅威

    クラウドの脅威はプロバイダ起因から利用者起因にシフト…CSAJの11大脅威

  8. 病院向け情報管理システム OpenClinic GA に複数の脆弱性

    病院向け情報管理システム OpenClinic GA に複数の脆弱性

  9. かくれ脱水から脱水状態に進行したときに起こるサインを解説(「教えて!「かくれ脱水」委員会)

    かくれ脱水から脱水状態に進行したときに起こるサインを解説(「教えて!「かくれ脱水」委員会)

  10. Apache HTTP Web Server 2.4 の複数の脆弱性へアップデート公開

    Apache HTTP Web Server 2.4 の複数の脆弱性へアップデート公開

ランキングをもっと見る