COD2013「ネットワークパケット解析・基本の基本」

ネットワークパケット
解析
基本の基本
2013年5月11日
Community Open Day 2013
11 May 2013 © Murachi Akira / Community Open Day 20131

About me
• 村地彰（aka hebikuzure）
– 株式会社シーピーエス代表取締役
– Twitter : @hebikuzure
– Facebook : https://www.facebook.com/amurachi
– Web site : http://www.hebikuzure.com/
– Blog : http://hebikuzure.wordpress.com/
– Mail :

ネットワークパケットを読む会
(仮)
• ネットワークパケットの読解を通じて、
ネットワークやプロトコル、セキュリ
ティーについて学ぶ勉強会
• 1 ～ 2ヶ月に1回のペースで、東京都内 (主
に銀座近辺) で開催しています
• 次回開催予定
5月24日 19:00 ～ 20:45
http://atnd.org/events/39536

はじめに
• このセッションは、4月19日開催
第14回「ネットワークパケット
を読む会(仮)」で行った「フレッ
シャーズのためのパケット解析入
門」を一部改訂したものです

「パケット」とは何?
• パケット通信方式における情報の伝送単
位
じゃ、「パケット通信方式」っ
て何?
• 連続データを一定量ずつ蓄積して1個の伝
送単位にして、伝送路の空いているタイ
ミングで送出、受信したデータを元の連
続データに復元する方式11 May 2013 © Murachi Akira / Community Open Day 20135

つまりこういうこと?
• 連続データ • パケット
• 11 May 2013 © Murachi Akira / Community Open Day 20136

パケットの特徴
• 上位プロトコルのパケットが下位プロト
コルのパケット中に「カプセル化」され
る

パケット解析とは
1. パケットをキャプチャする
2. キャプチャしたパケットを上位のプ
ロトコルごとにその内容を解析する
–プロトコル自体の解析
–最終的にやりとりされるアプリケー
ションデータの解析

パケットキャプチャとは
• パケット1つ1つに含まれるデータを
記録する
• パケットに含まれるデータ
–送信先
–送信元
–サイズ（パケット長）
–データの種類（上位プロトコル）

キャプチャされる場所
アプリケーション層
プレゼンテーション
層
セッション層
トランスポート層
ネットワーク層
データリンク層
物理層

別の見方
アプリケーション層
トランスポート層
インターネット層
リンク層

パケットキャプチャの手法
パケットをキャプチャする場所
対象デバイス内対象デバイス外
パケットをキャプチャする方法
ハードウェアソフトウェア

対象デバイス内でのキャプチャ
• オペレーティングシステムに付属する
ツールを利用する
– Linux / Unix 環境なら tcpdump
• オペレーティングシステムベンダー提供
のツールを利用する
– Windows 環境なら netcap / Network Monitor
• サードパーティのツールを利用する
– Wireshark / OmniPeek / NetworkMiner / ……

対象デバイス外でのキャプチャ
• ミラーポート
• タップ
• プロキシやゲートウェイでのキャプ
チャ
• 通信の対向側（サーバー側）での
キャプチャ

ツールにもいろいろある
• コマンドラインツール
– tcpdump, netcap, tshark（Wireshark のコマンド
版）など
– 動作が軽快、バッチ処理などに向く
• GUI ツール
– Wireshark, Network
Monitor, OmniPeek, NetworkMiner など
– 設定が分かりやすい、結果がすぐに確認でき
る
– その場で解析が可能11 May 2013 © Murachi Akira / Community Open Day 201315

ダウンロードリンク
• Wireshark
– http://www.wireshark.org/
• Microsoft Network Monitor
– http://www.microsoft.com/en-
us/download/details.aspx?id=4865
• NetworkMiner
– http://www.netresec.com/?page=NetworkMiner

データの形式
• キャプチャデータの保存形式はさま
ざま
–キャプチャする環境
–利用するツール
• 良く利用される形式
–libpcap 形式（拡張子 pcap）
–Wireshark 新形式（拡張子 pcapng）
–Network Monitor 形式（拡張子 cap）11 May 2013 © Murachi Akira / Community Open Day 201317

どんなデータが記録されるのか
• パケット全体のバイナリデータ
• 記録した時刻
• キャプチャしたインターフェイス
• トラフィックを発生させたプロセス

重要な注意事項
• 自分が管理している以外のネット
ワーク、他者が接続しているネッ
トワークでのパケットキャプチャ
を、管理者・利用者の承認なしに
行わないこと
• 解析して得られた情報は悪用厳禁

DEMO
• Wireshark を使ったパケットキャプ
チャ

パケット解析
• 基本的にはツールを利用
–Wireshark / Network Monitor / OmniPeek /
NetworkMiner などなど
• 力技で独自解析
–pcap などのフォーマットは公開されて
いるので、独自にバイナリ解析

DEMO
• Wireshark を使ったパケット解析

DEMO
• Network Monitor を使ったパケット解析

DEMO
• NetworkMiner を使ったパケット解析

おすすめ参考書
• 実践パケット解析
– http://www.oreilly.co.jp/books/9784873115696/
• パケットキャプチャ入門
– http://www.ric.co.jp/book/contents/book_875.html
• パケットキャプチャ実践技術
– http://www.ric.co.jp/book/contents/book_796.html
• 現場で使えるパケット解析テクニック
– http://ascii.asciimw.jp/books/books/detail/978-4-
7561-5018-9.shtml

COD2013「ネットワークパケット解析・基本の基本」

More Related Content

Viewers also liked (20)

Similar to COD2013「ネットワークパケット解析・基本の基本」 (20)

More from 彰村地 (20)