現役ペンテスト技術者が選ぶ 使えるセキュリティツール(21) 「パケットには真実がある − パケットモニタリング系ツール」 | ScanNetSecurity
2024.07.27(土)
コンテンツ
注目検索ワード
ホーム 特集 特集 記事

現役ペンテスト技術者が選ぶ 使えるセキュリティツール(21) 「パケットには真実がある − パケットモニタリング系ツール」

このコーナーでは、現役のペネトレーションテスト技術者が、使えるセキュリティツールを、ペンテストの現場の視点から紹介します。
今回から、何回かにわたって、tcpdumpや、Wiresharkなどに代表される、ネットワーク内を流れる通信情報を取得する、パケットモニタリング

特集
このコーナーでは、現役のペネトレーションテスト技術者が、使えるセキュリティツールを、ペンテストの現場の視点から紹介します。
今回から、何回かにわたって、tcpdumpや、Wiresharkなどに代表される、ネットワーク内を流れる通信情報を取得する、パケットモニタリング系ツールを集中して取り上げます。

(1) パケットモニタリング系ツールとは

パケットモニタリングとは、ネットワーク内を流れるTCP/IPに代表される通信情報を取得することである。

NIC(Network Interface Card)は、通常モードでは、自分宛以外の通信は、自身に到達しても破棄するという動作を行うが、プロミスキャスモード(無差別モード)というモードにすることで自分宛ではない通信も含め、自身に到達した通信すべてを受信することが可能である。

このモードを利用し、通信を取得するツールがパケットモニタリング系ツールである。パケットモニタリング系ツールは、パケットキャプチャーツール、パケット盗聴ツール、パケットアナライザー、スニッファーなどと呼称される場合があるが、今回からの記事では、便宜上、パケットモニタリング系ツールとする。

(2) その重要性

ペネトレーションテストと一言にいっても様々な手法があり、シチュエーションもある。皆さんが、ペネトレーションテストと聞いて、真っ先に連想するイメージは、やはり、ネットワーク経由からの擬似攻撃による検査を行い、検査対象のコンピュータ(サーバ、クライアント、ネットワーク機器など)に対して、侵入、情報の窃取、サービス拒否など、どの程度の被害を与えることができるのかということを測るといったものではないだろうか。そのイメージは、ほぼ、正解といってもいいだろう。

前述したとおり、ペネトレーションテストというのは様々な手法があるため、すべてがネットワーク経由で行われるわけではないが、9割以上は、ネットワーク上でなんからの通信を行っていると思っていただいて問題ない。今まで紹介してきたツールの殆どは、ネットワークを使用しているツールである。

少し余談ではあるが、インシデントレスポンスにおいてもパケットは非常に重要である。ソースアドレスなどの偽装ということは技術的に可能であるが、そこに通信が発生したいたという痕跡は必ず存在する。侵入などによって汚染されたコンピュータは、様々なファイルが改ざんされ、プロセスが隠ぺいされているなど、殆どが信用できないものである。しかし、汚染されているコンピュータへのパケット、汚染されているコンピュータからのパケットは、なんらかの意味を持っている。

すべてのパケットには、意味があり、そこには真実が存在する。

つまるところ、メールやWeb閲覧から、ペネトレーションテスト、ネットワーク調査、ネットワークを使う以上、私たちは、日常的にパケットのお世話になっているのである。パケットに始まり、パケットに終わるといっても過言ではないだろう。代表的パケットモニタリング系ツールとして下記を挙げておこう。

・tcpdump
http://www.tcpdump.org/
・Wireshark
http://www.wireshark.org/
・Snort
http://www.snort.org/
・Cain&Abel
http://www.oxid.it/cain.html

(3) 応用−パケットから見えてくるもの

値を設定し、ボタンをクリック。
コマンドを入力し、実行。
そして、結果を得る。

日常的に繰り返し行っているオペレーションだろう。

ユーザは、入出力からは、殆どパケットを意識することはないが、裏側では、確実にパケットが何かしらの働きをしてくれている。これは善意のユーザも悪意のあるユーザもである。

つまり、ネットワークを使用するツールのパケットを覗き見ることで…

【執筆:NTTデータ・セキュリティ株式会社 辻 伸弘】
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内 http://www.ns-research.jp/cgi-bin/ct/p.cgi?w02_ssw
《ScanNetSecurity》

特集

現役ペンテスト技術者が選ぶ 使えるセキュリティツール

ペンテスト

特集 アクセスランキング

  1. 今日もどこかで情報漏えい 第26回「2024年6月の情報漏えい」ふたつの “完全には否定できない” 違いは どこを向いているか

    今日もどこかで情報漏えい 第26回「2024年6月の情報漏えい」ふたつの “完全には否定できない” 違いは どこを向いているか

  2. 能力のないサーバ管理者 サーバモンキーはネットセキュリティの危険因子

    能力のないサーバ管理者 サーバモンキーはネットセキュリティの危険因子

  3. アンチ・シリコンジャーナリズム それってデータの裏付けあるの? 前編「存在しない『炎上』の作り方」

    アンチ・シリコンジャーナリズム それってデータの裏付けあるの? 前編「存在しない『炎上』の作り方」

  4. Scan社長インタビュー 第1回「NRIセキュア 柿木 彰 社長就任から200日間」前編

アクセスランキングをもっと見る

Page Top
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)
×