Hokkaido.cap#8 ケーススタディ(セキュリティ解析:後編)
- 1. ケーススタディ (セキュリティ解析 – 後編) Hokkaido.cap #8 2011.11.25 Masayuki YAMAKI
- 2. 今日の目標 • ネットワークセキュリティに関するシナリオを体 Wireshark 験し、これらのパケットがWiresharkでどのよう に見えるか確認しましょう。 • 解析作業をとおしてWiresharkの使い方を覚え ましょう。 2
- 3. 前回までのおさらい • これまでの資料を以下のURLで公開しています。 (USBメモリにも収録しています) Wiresharkを初めて使う方は参照しながら進め てみてください。 http://www.slideshare.net/eightroll • 操作方法がわからない場合は、遠慮せずにど んどん質問してください。 3
- 4. 今日の進め方 • 「実践パケット解析 第9章 ケーススタディ (セキュリティ解析)」の内容をベースに進めま す。本書をお持ちの方は演習に合わせて参照 してください。 (スライドには概要のみ記載しています) • サンプルとして、追加でいくつかのパケットを添 付しています。 • 気付いた点やわからない点があれば自由に ディスカッションしましょう。 4
- 6. Blasterワーム (1/2) • サンプルファイル : blaster.pcap • PCを起動すると60秒後にシャットダウンされる PC 60 • 1793番と4444番ポートを使って他のPCと通信 - 他のPCでは見られない動き 6
- 7. Blasterワーム (2/2) • バイナリ部分に注目する - 2番目のパケット : C:¥WINNT¥system32 へのアクセス - 4番目のパケット : msblast.exe の文字列 (その他の見分け方については書籍の「監訳注」を参照) 7
- 8. 隠された情報 (1/2) • サンプルファイル : covertinfo.pcap • あなたはネットワークのセキュリティ管理者になっ たつもりで疑わしい社員の通信を監視 - まずはディスプレイフィルタをかけて通常の業務で発 生しない通信を探す - 日中にpingのやりとりをしているのがおかしい 8
- 9. 隠された情報 (2/2) • バイナリを見ると、pingのデータ部を使ってやりと りしている (Loki と呼ばれる手法) 通常のpingのデータ部は aから始まる32byteの文字列 9
- 10. ハッカーの視点 (1/2) • サンプルファイル : hackersview.pcap • ARPキャッシュポイゾニングを使用し、ネットワー ARP ク管理者とルータの間に割り込む • ネットワーク管理者がtelnetを使ってルータと通 信しているところを捉える 10
- 11. ハッカーの視点 (2/2) • telnetは平文のプロトコルであるため、ユーザー IDとパスワードが簡単に読み取れる 11
- 12. いろんなパケットを見てみよう • slammer.pcap - SlammerワームによるDCE/RPC送信 注意 : このパケットはウィルス対策ソフトによってはワームとして検知します • dns-remoteshell.pcap - DNSポートによるリモートシェルの実行 • teardrop.pcap - TearDrop 攻撃 • SSH-bruteforce.pcap - SSH ブルートフォース攻撃 12
- 13. まとめと参考資料 13
- 14. この演習のまとめ • セキュリティに関するシナリオがWiresharkでど のように見えるか学びました。 • 解析作業をとおしてWiresharkの使い方を学び ました。 • 今回はセキュリティに関するパケットを解析して みましたが、他にもいろんなパケットを覗いてみ ると面白いかもです。 14
- 15. 参考資料 • 実践パケット解析 - Wiresharkを使ったトラブル シューティング - http://www.oreilly.co.jp/books/9784873113517/ - ISBN978-4-87311-351-7 • Wireshark.org - Sample Captures - http://wiki.wireshark.org/SampleCaptures 15
- 16. 16