現役ペンテスト技術者が選ぶ 使えるセキュリティツール(23) ただのパケットモニタリングツールではない −Wireshark(1) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.11.20(月)

現役ペンテスト技術者が選ぶ 使えるセキュリティツール(23) ただのパケットモニタリングツールではない −Wireshark(1)

特集 特集

 このコーナーでは、現役のペネトレーションテスト技術者が、使えるセキュリティツールを、ペンテストの現場の視点から紹介します。

◆名称: Wireshark
◆配布制限: フリーウェア
◆商用版の有無: 無
◆類似ツール: Packetyzer
◆DL URL: http://www.wireshark.org/
◆対応OS: Windows系OS、Unix系OS、OSX
◆分野: ネットワークプロトコル分析
◆コマンド一覧:

(1) 基本項目と概要

 前回は、パケットモニタリングの王道「tcpdump」を紹介させていただいた。今回紹介する「Wireshark」は単独でも使えるツールではるが、「tcpdump」と非常に相性のよいツールである。

 この「Wireshark」だがソフトの名称が一度変更されている。変更される以前は「Ethereal」という名前で愛されてきたツールである。Webで情報を検索する際、現在は、この名前のほうがヒット数が多いため調べモノの際には旧名称で検索することをお勧めする。
(「ethereal」での検索結果 約 11,100,000 件
 「wireshark」 の検索結果 約 1,650,000 )

 さて、この「Wireshark」、「分野」としては「ネットワークプロトコル分析」と書かせていただいた。これは、冒頭でも述べた通り単独でも相当使えるツールで、パケットモニタリングを行うこともできるのだが、「tcpdump」がCUIであることに対し、GUIの強みを活かした分析機能を持ち、開発本家がパケットスニッファ、パケットキャプチャという名称ではなく、「network protocol analyzer」と呼称しているためである。

(2)コマンドサンプル

 それでは、早速動かしてみよう。
(Windowsで動作させる場合「Winpcap」などの「Wireshark」の動作に必要なものは、Windows用インストーラに付属している。)

 まずは、最も基本的な部分として、パケットキャプチャの開始方法を紹介する。

 「Wireshark」を起動したら、メニューの「Capture」から「Options」を選択するとキャプチャに関する設定を行うウインドウが表示される。

図1:キャプチャに関する設定を行うウインドウ
https://www.netsecurity.ne.jp/images/article/ws-options.jpg

 ここでは、どのNICへのパケットをキャプチャするか、その表示方法、フィルタ条件などを指定することができる。

 とりあえず、キャプチャを開始するだけであれば、どのNICでキャプチャするかの設定箇所である、「Interface」を設定するだけでよいだろう。

 好みの問題としては、「Display Options」(表示方法)や「Name Resolution」(名前解決)、「StopCapture」(保存する期間やサイズの制限)などを適宜設定するとよいだろう。また、表示されるパケットが多い中で目的のパケットのみを表示したいということであれば、「CaptureFilter」を利用するという手もある。もちろん、フィルタに関してはキャプチャ中、キャプチャ後でも可能であるため、まずは、様子見をしてからというのも一つの方法だろう。

 ちなみに筆者の場合は、リアルタイムに見る機会が多いため、「Display Option」の「Update list of packetsin real time」をオンにし、キャプチャされる度にスクロールされるとパケットを確認しづらいため、「Automaticscrolling in live capture」はオフにしている。

 設定が完了したら、「Start」ボタンをクリックすることでキャプチャが開始される。

図2:
https://www.netsecurity.ne.jp/images/article/ws-run.jpg

 キャプチャを開始するとウインドウ内に色々な文字列が表示されるだろう。表示される場所によってそれぞれ下記の通り意味がある。

図3:
https://www.netsecurity.ne.jp/images/article/ws-window.jpg

<1>
この部分には、キャプチャしたパケットの番号や日付、送信元、送信先、プロトコルと簡単なインフォメーションが表示される。分析を行う場合、まず、ここでどのようなパケットが流れているのかを確認し、詳細情報を追いかけていくこととなる。

<2>
この部分には、<1>に表示されているパケットを選択することで詳細情報を表示することができる。

<3>
この部分には<1>で選択されたパケットの内容すべてが表示される。表示には16進表記と文字列表示が可能な文字列についてはASCII文字列の両方が表示される。

基本的な使い方は以上である。

(3)使用例とTIPS、検査者の視点から

 「tcpdump」と比べ、非常にユーザフレンドリーで、パケットを取得し、眺める程度であればすぐにでも利用できそうだという印象を受けたのではないだ
ろうか。

 おそらくその印象は…

【執筆:NTTデータ・セキュリティ株式会社 辻 伸弘】

【関連記事】
現役ペンテスト技術者が選ぶ 使えるセキュリティツール(21)
「パケットには真実がある − パケットモニタリング系ツール」
https://www.netsecurity.ne.jp/3_11732.html
現役ペンテスト技術者が選ぶ 使えるセキュリティツール(22)
「パケットモニタリングツールの王道 −tcpdump」
https://www.netsecurity.ne.jp/3_11765.html
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内 http://www.ns-research.jp/cgi-bin/ct/p.cgi?w02_ssw
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

    グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

  2. ここが変だよ日本のセキュリティ 第30回「ダメンズ・オーディット! 上場企業なら避けて通れない監査対応に監査感激!」

    ここが変だよ日本のセキュリティ 第30回「ダメンズ・オーディット! 上場企業なら避けて通れない監査対応に監査感激!」

  3. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

    クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  4. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第8回 「はした金」

  5. [対談] 人工知能は重要経営課題となったサイバーリスクに対抗できるか

  6. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第7回 「三人の容疑者」

  7. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第9回「勤怠簿」

  8. マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

  9. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第1回 「プロローグ:身代金再び」

  10. 工藤伸治のセキュリティ事件簿 シーズン6 「誤算」 第1回「プロローグ:七月十日 夕方 犯人」

全カテゴリランキング

特集

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×