hokkaido.cap#8 ケーススタディ(セキュリティ解析:後編)
TRANSCRIPT
ケーススタディケーススタディ(セキュリティ解析 – 後編)
Hokkaido.cap #8
2011.11.252011.11.25
Masayuki YAMAKI
今日の目標
• ネットワークセキュリティに関するシナリオを体験し、これらのパケットがWiresharkでどのようWiresharkに見えるか確認しましょう。
• 解析作業をとおしてWiresharkの使い方を覚えましょう。
2
前回までのおさらい
• これまでの資料を以下のURLで公開しています。(USBメモリにも収録しています)Wiresharkを初めて使う方は参照しながら進めWiresharkを初めて使う方は参照しながら進めてみてください。
http://www.slideshare.net/eightroll
• 操作方法がわからない場合は、遠慮せずにどんどん質問してください。んどん質問してください。
3
今日の進め方
• 「実践パケット解析第9章ケーススタディ
(セキュリティ解析)」の内容をベースに進めます。本書をお持ちの方は演習に合わせて参照してください。(スライドには概要のみ記載しています)
• サンプルとして、追加でいくつかのパケットを添付しています。付しています。
• 気付いた点やわからない点があれば自由にディスカッションしましょう。
4
演習資料
- セキュリティ解析(後編) -
5
Blasterワーム (1/2)
• サンプルファイル : blaster.pcap
• PCを起動すると60秒後にシャットダウンされる• PC 60
• 1793番と4444番ポートを使って他のPCと通信
- 他のPCでは見られない動き
6
Blasterワーム (2/2)
• バイナリ部分に注目する
- 2番目のパケット : C:¥WINNT¥system32 へのアクセス
- 4番目のパケット : msblast.exe の文字列
7
(その他の見分け方については書籍の「監訳注」を参照)
隠された情報 (1/2)
• サンプルファイル : covertinfo.pcap
• あなたはネットワークのセキュリティ管理者になっ• あなたはネットワークのセキュリティ管理者になったつもりで疑わしい社員の通信を監視
- まずはディスプレイフィルタをかけて通常の業務で発生しない通信を探す
- 日中にpingのやりとりをしているのがおかしい
8
隠された情報 (2/2)
• バイナリを見ると、pingのデータ部を使ってやりとりしている (Loki と呼ばれる手法)
9
通常のpingのデータ部はaから始まる32byteの文字列
ハッカーの視点 (1/2)
• サンプルファイル : hackersview.pcap
• ARPキャッシュポイゾニングを使用し、ネットワー• ARPク管理者とルータの間に割り込む
• ネットワーク管理者がtelnetを使ってルータと通信しているところを捉える
10
ハッカーの視点 (2/2)
• telnetは平文のプロトコルであるため、ユーザーIDとパスワードが簡単に読み取れる
11
いろんなパケットを見てみよう
• slammer.pcap- SlammerワームによるDCE/RPC送信注意 :このパケットはウィルス対策ソフトによってはワームとして検知します注意 :このパケットはウィルス対策ソフトによってはワームとして検知します
• dns-remoteshell.pcap- DNSポートによるリモートシェルの実行
• teardrop.pcap- TearDrop 攻撃- TearDrop 攻撃
• SSH-bruteforce.pcap- SSH ブルートフォース攻撃
12
まとめと参考資料
13
この演習のまとめ
• セキュリティに関するシナリオがWiresharkでどのように見えるか学びました。のように見えるか学びました。
• 解析作業をとおしてWiresharkの使い方を学びました。
• 今回はセキュリティに関するパケットを解析してみましたが、他にもいろんなパケットを覗いてみると面白いかもです。ると面白いかもです。
14
参考資料
• 実践パケット解析 - Wiresharkを使ったトラブルシューティング
- http://www.oreilly.co.jp/books/9784873113517/- http://www.oreilly.co.jp/books/9784873113517/
- ISBN978-4-87311-351-7
• Wireshark.org - Sample Captures- http://wiki.wireshark.org/SampleCaptures
15
16