現役ペンテスト技術者が選ぶ使えるセキュリティツール(24) 「ただのパケットモニタリングツールではない　−Wireshark(2)」

　このコーナーでは、現役のペネトレーションテスト技術者が、使えるセキュリティツールを、ペンテストの現場の視点から紹介します。

特集特集

2008年8月7日（木） 17時15分

　このコーナーでは、現役のペネトレーションテスト技術者が、使えるセキュリティツールを、ペンテストの現場の視点から紹介します。

◇名称： Wireshark(2)
◇配布制限：フリーウェア
◇商用版の有無：無
◇類似ツール： Packetyzer
◇DL URL： http://www.wireshark.org/
◇対応OS： Windows系OS、Unix系OS、OSX
◇分野：ネットワークプロトコル分析
◇コマンド一覧：

(1)基本項目と概要

　前回は、「Wireshark」の概要、パケットのキャプチャまでを紹介させていただいた。パケット分析を行う上で最も重要なのは、必要な情報を素早く正確に抽出することである。そのため、「tcpdump」の回でも紹介したフィルタ機能が「Wireshark」でも重要ということである。

(2)コマンドサンプル

　パケットのフィルタ書式は残念ながら「tcpdump」とは異なり「Wireshark」独自のものなっている。詳しいフィルタ書式については

http://www.space-peace.com/ethereal/check/ethereal_check_9.htm

を参照いただきたい。

　紹介したサイトにもある通り、フィルタ方法には、「キャプチャフィルタ」と「ディスプレイフィルタ」というものがある。前者は、あらかじめ指定したフィルタ条件にマッチしたパケットのみをキャプチャするため、目的のパケットのパターンがはっきりしている場合は有効であると言える。しかし、フィルタ条件が完全でなければ、必要としているキャプチャすべきパケットを思わぬところで取得漏れするという結果を招く可能性が高いといえる。したがって、キャプチャしたいパケットのプロトコルが「HTTPのみ」や、宛先ポートが「TCP/23」のみといったような限定的なものではない限り、使わないほうが得策かもしれない。

　それとは逆に、「ディスプレイフィルタ」は一旦キャプチャしたパケットの中から、抽出したいパケットのみを表示するものである。

　実際、パケットを分析し始めると思いもよらない発見をする場合がある。そのようなことを考慮すると、フィルタを行う際には、「ディスプレイフィルタ」を用いることがベターであると言えるだろう。

(3)使用例とTIPS、検査者の視点から

　当然、多くのパケットをキャプチャすると、キャプチャしているマシンのリソースを消費する。

　「Wireshark」では、キャプチャしたパケットをファイルで保存し、再度、分析したいときには「Wireshark」でその保存ファイルを読み込むことで分析を再開できる。

　その際に、ファイルサイズが大きいことでロードに時間がかなりかかる場合もある。このように聞くと、「「キャプチャフィルタ」を採用したほうがいいのではないか？」と思われるだろう。しかし、キャプチャ漏れは、パケット分析において最も避けなければならない事態である。それに対する、現実解として、一度、リソースを消費するという犠牲を払い、必要なパケットだけを区分けして保存するという方法がある。

　その方法の一例を以下に示す…

【執筆：NTTデータ・セキュリティ株式会社辻伸弘】

【関連記事】
現役ペンテスト技術者が選ぶ使えるセキュリティツール(21)「パケットには真実がある　−　パケットモニタリング系ツール」
https://www.netsecurity.ne.jp/3_11732.html
現役ペンテスト技術者が選ぶ使えるセキュリティツール(22)「パケットモニタリングツールの王道　−tcpdump」
https://www.netsecurity.ne.jp/3_11765.html
現役ペンテスト技術者が選ぶ使えるセキュリティツール(23)ただのパケットモニタリングツールではない　−Wireshark(1)
https://www.netsecurity.ne.jp/3_11940.html
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内 http://www.ns-research.jp/cgi-bin/ct/p.cgi?w02_ssw

《ScanNetSecurity》