現役ペンテスト技術者が選ぶ 使えるセキュリティツール(24) 「ただのパケットモニタリングツールではない −Wireshark(2)」 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.12.14(木)

現役ペンテスト技術者が選ぶ 使えるセキュリティツール(24) 「ただのパケットモニタリングツールではない −Wireshark(2)」

特集 特集

 このコーナーでは、現役のペネトレーションテスト技術者が、使えるセキュリティツールを、ペンテストの現場の視点から紹介します。

◇名称: Wireshark(2)
◇配布制限: フリーウェア
◇商用版の有無: 無
◇類似ツール: Packetyzer
◇DL URL: http://www.wireshark.org/
◇対応OS: Windows系OS、Unix系OS、OSX
◇分野: ネットワークプロトコル分析
◇コマンド一覧:

(1)基本項目と概要

 前回は、「Wireshark」の概要、パケットのキャプチャまでを紹介させていただいた。パケット分析を行う上で最も重要なのは、必要な情報を素早く正確に抽出することである。そのため、「tcpdump」の回でも紹介したフィルタ機能が「Wireshark」でも重要ということである。

(2)コマンドサンプル

 パケットのフィルタ書式は残念ながら「tcpdump」とは異なり「Wireshark」独自のものなっている。詳しいフィルタ書式については

http://www.space-peace.com/ethereal/check/ethereal_check_9.htm

を参照いただきたい。

 紹介したサイトにもある通り、フィルタ方法には、「キャプチャフィルタ」と「ディスプレイフィルタ」というものがある。前者は、あらかじめ指定したフィルタ条件にマッチしたパケットのみをキャプチャするため、目的のパケットのパターンがはっきりしている場合は有効であると言える。しかし、フィルタ条件が完全でなければ、必要としているキャプチャすべきパケットを思わぬところで取得漏れするという結果を招く可能性が高いといえる。したがって、キャプチャしたいパケットのプロトコルが「HTTPのみ」や、宛先ポートが「TCP/23」のみといったような限定的なものではない限り、使わないほうが得策かもしれない。

 それとは逆に、「ディスプレイフィルタ」は一旦キャプチャしたパケットの中から、抽出したいパケットのみを表示するものである。

 実際、パケットを分析し始めると思いもよらない発見をする場合がある。そのようなことを考慮すると、フィルタを行う際には、「ディスプレイフィルタ」を用いることがベターであると言えるだろう。

(3)使用例とTIPS、検査者の視点から

 当然、多くのパケットをキャプチャすると、キャプチャしているマシンのリソースを消費する。

 「Wireshark」では、キャプチャしたパケットをファイルで保存し、再度、分析したいときには「Wireshark」でその保存ファイルを読み込むことで分析を再開できる。

 その際に、ファイルサイズが大きいことでロードに時間がかなりかかる場合もある。このように聞くと、「「キャプチャフィルタ」を採用したほうがいいのではないか?」と思われるだろう。しかし、キャプチャ漏れは、パケット分析において最も避けなければならない事態である。それに対する、現実解として、一度、リソースを消費するという犠牲を払い、必要なパケットだけを区分けして保存するという方法がある。

 その方法の一例を以下に示す…

【執筆:NTTデータ・セキュリティ株式会社 辻 伸弘】

【関連記事】
現役ペンテスト技術者が選ぶ 使えるセキュリティツール(21)「パケットには真実がある − パケットモニタリング系ツール」
https://www.netsecurity.ne.jp/3_11732.html
現役ペンテスト技術者が選ぶ 使えるセキュリティツール(22)「パケットモニタリングツールの王道 −tcpdump」
https://www.netsecurity.ne.jp/3_11765.html
現役ペンテスト技術者が選ぶ 使えるセキュリティツール(23)ただのパケットモニタリングツールではない −Wireshark(1)
https://www.netsecurity.ne.jp/3_11940.html
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内 http://www.ns-research.jp/cgi-bin/ct/p.cgi?w02_ssw
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

    グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

  2. ここが変だよ日本のセキュリティ 第31回「中二病全開!アンチ・アンチ・オーディット作戦発動!!」

    ここが変だよ日本のセキュリティ 第31回「中二病全開!アンチ・アンチ・オーディット作戦発動!!」

  3. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

    クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  4. [数字でわかるサイバーセキュリティ] 2018年度政府サイバーセキュリティ予算、大規模予算施策一覧

  5. ここが変だよ日本のセキュリティ 第30回「ダメンズ・オーディット! 上場企業なら避けて通れない監査対応に監査感激!」

  6. [セキュリティホットトピック] まるで海外アングラサイト? 中学生がフリマアプリでウイルス売買し書類送検

  7. [セキュリティホットトピック] 金融機関情報を狙う「DreamBot」「Gozi・Ursnif」、国内でまた活発化

  8. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第11回「五十四歳」

  9. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第10回「面会依頼」

  10. スマホが標的のフィッシング詐欺「スミッシング」とは、現状と対策(アンラボ)

全カテゴリランキング

特集

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×