This post is also available in: English (英語) 概要 本シリーズは、疑わしいネットワークアクティビティの調査やネットワークトラフィックのパケットキャプチャ(pcap)の確認を業務で行っておられるセキュリティ専門家を読者として想定しています。このため本稿での手順説明は読者の皆さんがWiresharkの使いかたをご存知であることを前提としています。また、本稿にて利用するWiresharkのバージョンは主に3.xとなります。 Emotetは情報窃取型のマルウェア (インフォスティーラ) で、バンキングマルウェアとして2014年に最初に報告されました。それ以来、ドロッパなどの機能を追加して進化をかさね、Gootkit、IcedID、Qakbot、Trickbotなど、ほかのマルウェアファミリを配布するようになってきています。 今回のパケット解析講座では、E
本稿では、初めて実際に独自プロトコルのDissectorを作る人が最初にぶつかるであろう壁を乗り越える方法を紹介します。 Dissectorって何?という人は、先に↓こちらを読んでください。 WiresharkのDissectorを使った独自プロトコル解析をやさしく解説してみました - DARK MATTER 本稿では、基本的なDissectorの作り方と、Dissectorを活用したパケット解析方法を紹介します。WiresharkのDissectorをご存知でしょうか?DissectorはWireshar ... できるようになること 複数のパケットに分割されたパケットのDissectorの作成 TCPのパケット分割について(いちおう書いておきます) TCPはストリーム型の通信であり、送信サイズや通信環境によりTCPの仕組みでパケットが分割されて送信される場合があります。このため一般に公
This post is also available in: English (英語) 概要 本シリーズは、疑わしいネットワークアクティビティの調査やネットワークトラフィックのパケットキャプチャ(pcap)の確認を業務で行っておられるセキュリティ専門家を読者として想定しています。このため本稿での手順説明は読者の皆さんがWiresharkの使いかたをご存知であることを前提としています。また、本稿にて利用するWiresharkのバージョンは主に3.xとなります。 昨今、対象となる疑わしいネットワークアクティビティのトラフィックが暗号化されていることは珍しくありません。今はほとんどのWebサイトが Hypertext Transfer Protocol Secure(HTTPS)プロトコルを使用しており、そうした通常の Webサイトと同様にさまざまなマルウェアもまた HTTPS を利用していま
This post is also available in: English (英語) 概要 Wireshark は無料で利用できるプロトコル アナライザです。 Wireshark を使うと、ネットワーク トラフィックをキャプチャーしたり、キャプチャーしたパケットを表示させることができます。ITの専門職についているかたがたは、このツールを使って日々ネットワークのさまざまな問題を解決しています。セキュリティの専門家も、この Wireshark を使ってマルウェアが生成するトラフィックを確認しています。 そこで、今回は Wireshark の便利な機能のひとつである表示列のカスタマイズをご紹介したいと思います。Wireshark はデフォルトでは、非常にたくさんの情報を列表示してくれますが、これをカスタマイズすることで皆さん自身の用途に使いやすいようにできます。 本稿は Wireshark
光ファイバーの盗聴について考えたことはあるでしょうか?「光ファイバーって盗聴できるの?」「そんなの知ってるよ」など答えは様々かも知れません。ただ実際に試したことがある方は少ないのではないでしょうか?本稿では、光ファイバーの盗聴を実験した顛末を紹介します。実験は成功したのでしょうか? 本記事は、光ファイバー(光ケーブル)が盗聴されるリスクがある事を知っていただく事を目的としています。光ファイバーについて場合によっては必ずしも安全というわけではないことを知った上でセキュリティ対策を考えていただきたいと思います。 ご自身の環境以外では試さないようお願いします。 なぜ光ファイバーからの侵入? 技術部の安井です。長年制御システムを開発してきた経験から制御システムセキュリティ向上に取り組んでいます。以前LANケーブル(有線LAN)からの侵入・盗聴の実験を紹介したところ多くの方に参照いただけました。 サ
2019/5/17追記 QUICの暗号化について説明を書きました asnokaze.hatenablog.com 2020/09/16「WiresharkがHTTP/3に対応した - ASnoKaze blog」 WiresharkはIETF版 QUICパケットのdecryptに対応しているので、やってみる。 Wiresharkの細かい対応状況については以下の通りです。 Tools · quicwg/base-drafts Wiki · GitHub 最新のソースコード内に書かれているTODOとしては、以下の通り。 * to-do list: * DONE key update via KEY_PHASE bit (untested) * TODO 0-RTT decryptionhttps://github.com/wireshark/wireshark/blob/master/epan
こんにちは!この春フロムスクラッチに入社した新人エンジニアのおんじです! 今回のフロムスクラッチ開発ブログでは「CTFのバイナリ解析から学ぶセキュリティとハッキング」に続いて、パケット解析編の勉強会について書きたいと思います。 また、勉強会の内容自体が書籍の『セキュリティコンテストチャレンジブック CTFで学ぼう情報を守るための戦い方』を参考にしているので、より深く気になる方は手にとってみてはいかがでしょうか。 ※CTFバイナリ解析編のバックナンバーは、こちらからどうぞ! 1.CTFとは? CTFとは情報技術に関する問題に対して適切な形で対処することで、「フラグ(Flag)」と呼ばれる得点対象の文字列を取得することによって、得られた得点で勝敗を決める大会です。”Capture The Flag”の頭文字をとってCTFといいます。国内ではSECCON CTFが有名です。(CTFについては、こ
リバースプロキシから渡ってきた HTTP リクエストで WebApp がエラーになるという状況が発生しました。 状況としては、 リバプロにはぼくたちはアクセスできないし、そのリバプロにリクエストを送ることもできない。 リバプロから WebApp 用 FW に何らかの HTTP ヘッダを連携することになっているが、果たして送られているのかが不明 という状況。正確に何が起こっているのか分からない状況で鍵になるのは事象の再現であり、このときに採った戦略はパケットキャプチャでリクエスト内容を確認し、それを curl で再現することでした。 容易にサーバ上にツールを導入できる状況でもなかったので、tcpdump が使えたことは本当に有り難かったです。また、自分の端末にもソフトウェアを簡単に導入できない環境ではあったものの、WireShark が入っていたのも良かった。 この 2 つが揃っていれば、あ
問題意識エンジニアのタイプを分けるとき、大雑把に「サービス志向」と「技術志向」みたいな分け方をすることが、僕の周りではよくあります。 個人的にはこの分け方は必ずしも良いものとは言えないと思います。少しエンジニアのことをサービスと距離のある人種として捉えてるように感じるからです。 技術志向だからってサービスのことを考えてないということではなく、「よりセキュアな技術を採用する」「効率的で安全なデプロイができるフローを構築する」などなど、技術向上を通じてユーザー体験をよくしよう、としているはずです。 ただ、デザインを良くしたり読み込みスピードを早くしたりなど、「目に見える範囲で改善する施策」を考え、実行しなければ、プロデューサー的な人からすれば「何やってんだろうな〜」と、エンジニアはブラックボックス的な人に見えてしまうこともあると思います。 じゃあ他のアプリをいじってみたりして、サービス勘みたい
Wiresharkはv2.3.0からTLS 1.3 draft 19に対応する。めでたい。すぐに使いたい人は、Nightlyビルドをとってくるとよい。 追記:v2.5.0rc0-1840-gd35ed012ce から TLS 1.3 draft 22 に対応している。(draft 22 はまだ出てないけど。) 使ってみる ポート13443で起動しているHaskellサーバとpicotlsクライアントの通信をtcpdumpでキャプチャしたファイルを"pico.pcap"とする。これを表示してみよう。 % tshark -dtcp.port==13443,ssl -Y ssl -r pico.pcap -V Secure Sockets Layer TLSv1 Record Layer: Handshake Protocol: Client Hello Content Type: Handsh
TLS1.3動いたシリーズの第3回目(?) WiresharkはTLSの実装一覧ページ(URL)では、以前よりTLS1.3対応をうたっていたがあまり出来は芳しくなかった。しかし、先日 TLS1.3絡みのコミットが幾つか入ったので、実際に改善されていることを確認した コミットログ(URL)を見る限りdecryptにも対応しているようなので、復号もできそうだが、TLS1.3になって復号に必要なパラメータが変わったため SSLKEYLOGFILEまわりの仕組みがどうなってるかはよくわからない。picotlsだと、うまくいくかもしれない(URL) 2019年5月追記: すでに復号対応しております。SSLKEYLOGFILEを食わせれば復号できる。 ビルド 今回は簡単に、CUI版であるTsharkをtrustyでビルドする sudo apt-get install -y flex libglib2.
パケットをキャプチャーして解析するソフト「Wireshark」には、USBメモリーにインストールして持ち歩けるバージョン「Wireshark Portable」がある。WinPcapというパケットキャプチャードライバー▼を含まないので、単体ではキャプチャーできないが、スイッチやルーター、アクセスポイントといったネットワーク機器の監視機能など、別の機器で出力したファイルを自席以外で解析するときに便利だ。 PortableApps版を使う Wireshark Portableは、Wiresharkの公式サイト▼から入手できる。ダウンロードページにある「Windows PortableApps」をクリックすると、インストーラーをダウンロードできる。PortableAppsとは、WindowsアプリケーションをUSBメモリーに入れて持ち歩けるバージョンを開発するコミュニティサイト「Portable
通信プロトコルを理解するには、実際にどのようなデータをやり取りしているのかを見るのが手っ取り早い方法です。インターネットの通信技術では、「パケット」と呼ばれる単位でデータをやり取りします。しかし、通常利用しているWebブラウザーや電子メールクライアントなどのソフトでは、パケットを見られません。 ネットワークに流れているパケットを見るときに利用するのが、パケットキャプチャーのツールです▼。WindowsやOS Xの環境では「Wireshark」というフリーのツールを利用します。またLinuxなどのUNIX環境では「tcpdump」を利用するのが一般的です。どちらのツールでも、レイヤー2以上のパケットが見られます。 キャプチャーツールは(1)ネットワークやアプリケーションで障害や問題が発生した際のデータの確認、(2)プロトコルの正当性確認、(3)通信相手を特定した通信内容の確認、などが主な用途
こんにちは!@kakeyangです! 久しぶりの投稿です。 なぜなら、、、沖縄の八重山諸島に旅行に行ってましたのです! 楽しかったなぁ(遠い目) 今回は、開発で経験した通信障害の原因とその対策を公開します。 原因がLinuxカーネルの設定だったので、結構苦労しました。。。 障害概要 異なるネットワーク内(片方は弊社ネットワーク)の物理サーバ間(弊社が受信側)でインターネット越しにソケット通信を行う。 毎回ではないが1割程度の割合で、送信側でconnection timeoutを観測。 受信側にはapacheのログが残っていなかったので、webサーバには届いていない。 送信側でtracerouteすると、確かに弊社ネットワーク内には入っている。 弊社ネットワーク内のF/Wから物理サーバの間のどこかで通信が途絶えているっぽい! というところまではすぐに判明しました。 調査内容 データセンターと
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
