hokkaido.cap#7 ケーススタディ(セキュリティ解析:前編)
TRANSCRIPT
![Page 1: Hokkaido.cap#7 ケーススタディ(セキュリティ解析:前編)](https://reader031.vdocuments.net/reader031/viewer/2022020207/555e7e60d8b42abd468b49df/html5/thumbnails/1.jpg)
ケーススタディケーススタディ(セキュリティ解析 – 前編)
Hokkaido.cap #7
2011.10.212011.10.21
Masayuki YAMAKI
![Page 2: Hokkaido.cap#7 ケーススタディ(セキュリティ解析:前編)](https://reader031.vdocuments.net/reader031/viewer/2022020207/555e7e60d8b42abd468b49df/html5/thumbnails/2.jpg)
今日の目標
• ネットワークセキュリティに関するシナリオを体験し、これらのパケットがWiresharkでどのようWiresharkに見えるか確認しましょう。
• 解析作業をとおして「ディスプレイフィルタ」の使い方を覚えましょう。
2
![Page 3: Hokkaido.cap#7 ケーススタディ(セキュリティ解析:前編)](https://reader031.vdocuments.net/reader031/viewer/2022020207/555e7e60d8b42abd468b49df/html5/thumbnails/3.jpg)
前回までのおさらい
• これまでの資料を以下のURLで公開しています。(USBメモリにも収録しています)Wiresharkを初めて使う方は参照しながら進めWiresharkを初めて使う方は参照しながら進めてみてください。
http://www.slideshare.net/eightroll
• 操作方法がわからない場合は、遠慮せずにどんどん質問してください。んどん質問してください。
3
![Page 4: Hokkaido.cap#7 ケーススタディ(セキュリティ解析:前編)](https://reader031.vdocuments.net/reader031/viewer/2022020207/555e7e60d8b42abd468b49df/html5/thumbnails/4.jpg)
今日の進め方
• 「実践パケット解析第9章ケーススタディ
(セキュリティ解析)」の内容をベースに進めます。本書をお持ちの方は演習に合わせて参照してください。(スライドには概要のみ記載しています)
• 気付いた点やわからない点があれば自由にディスカッションしましょう。ディスカッションしましょう。
4
![Page 5: Hokkaido.cap#7 ケーススタディ(セキュリティ解析:前編)](https://reader031.vdocuments.net/reader031/viewer/2022020207/555e7e60d8b42abd468b49df/html5/thumbnails/5.jpg)
演習資料
- セキュリティ解析(前編) -
5
![Page 6: Hokkaido.cap#7 ケーススタディ(セキュリティ解析:前編)](https://reader031.vdocuments.net/reader031/viewer/2022020207/555e7e60d8b42abd468b49df/html5/thumbnails/6.jpg)
OSのフィンガープリント (1/3)
• サンプルファイル : osfingerprinting.pcap
• ICMP通信が記録されているキャプチャファイル• ICMP- 一般的には使用されない 「Timestamp request」「Timestamp reply」 「Address mask request」「Information request」 などが記録されている。
6
![Page 7: Hokkaido.cap#7 ケーススタディ(セキュリティ解析:前編)](https://reader031.vdocuments.net/reader031/viewer/2022020207/555e7e60d8b42abd468b49df/html5/thumbnails/7.jpg)
OSのフィンガープリント (2/3)
• OS Finger Print とは
- 標的ホストのOSを推測する方法の一つ。- OS
- OSごとのTCP/IPの実装に関する特徴(TCPの初期シーケンス番号やFINパケットに関する応答、ICMPのメッセージなど)から、OSの種類を推測する。
7
![Page 8: Hokkaido.cap#7 ケーススタディ(セキュリティ解析:前編)](https://reader031.vdocuments.net/reader031/viewer/2022020207/555e7e60d8b42abd468b49df/html5/thumbnails/8.jpg)
OSのフィンガープリント (3/3)
• ディスプレイフィルタを適用icmp.type == 13 || icmp.type == 15 || icmp.type == 17
8
![Page 9: Hokkaido.cap#7 ケーススタディ(セキュリティ解析:前編)](https://reader031.vdocuments.net/reader031/viewer/2022020207/555e7e60d8b42abd468b49df/html5/thumbnails/9.jpg)
参考 : ICMP タイプ一覧
タイプ 説明
0 エコー応答 (Echo Reply)
3 宛先到達不能(Destination Unreachable)
タイプ 説明
13 タイムスタンプ(Timestamp)
14 タイムスタンプ応答(Destination Unreachable)
4 発信元抑制 (Source Quench)
5 リダイレクト (Redirect)
8 エコー要求 (Echo Request)
9 ルータ通知(Router Advertisement)
10 ルータ要求 (Router Solicitation)
14 タイムスタンプ応答(Timestamp Reply)
15 インフォメーション要求(Information Request)
16 インフォメーション応答(Information Reply)
17 アドレスマスク要求(Address Mask Request)
9
11 時間超過 (Time Exceeded)
12 パラメータ問題(Parameter Problem)
(Address Mask Request)
18 アドレスマスク応答(Address Mask Reply)
http://www.iana.org/assignments/icmp-parameters/icmp-parameters.xml
![Page 10: Hokkaido.cap#7 ケーススタディ(セキュリティ解析:前編)](https://reader031.vdocuments.net/reader031/viewer/2022020207/555e7e60d8b42abd468b49df/html5/thumbnails/10.jpg)
ポートスキャン (1/1)
• サンプルファイル : portscan.pcap
• ポートスキャン(通信可能なTCP、UDPのポートを探す)の一部を抜粋したキャプチャファイルを探す)の一部を抜粋したキャプチャファイル
- Telnet、microsoft-ds、FTP、SMTPなど攻撃がしやすいポートに対して行われることが多い。
10
![Page 11: Hokkaido.cap#7 ケーススタディ(セキュリティ解析:前編)](https://reader031.vdocuments.net/reader031/viewer/2022020207/555e7e60d8b42abd468b49df/html5/thumbnails/11.jpg)
参考 : ポートスキャンの種類
• 代表的なポートスキャナ「nmap」を使用した例
- TCP SYN スキャン : nmap_SYN_scan.pcap» nmap -sS -A -v <hostname>» nmap -sS -A -v <hostname>
- TCP SYN スキャン (All TCP ports) :nmap_SYN-All_scan.pcap
» nmap -sS -p 1-65535 -A -v <hostname>
- TCP FIN スキャン : nmap_FIN_scan.pcap» nmap -sF -A -v <hostname>
- UDP スキャン : nmap_UDP_scan.pcap» nmap -sU -A -v <hostname>
11
![Page 12: Hokkaido.cap#7 ケーススタディ(セキュリティ解析:前編)](https://reader031.vdocuments.net/reader031/viewer/2022020207/555e7e60d8b42abd468b49df/html5/thumbnails/12.jpg)
プリンタの氾濫 (1/2)
• サンプルファイル : printerproblem.pcap
• プリンタからおかしなものが印刷される•- プリンタサーバでキャプチャを開始。
- プリンタサーバ(10.100.16.15)は特定のクライアント(10.100.17.47)から大量にSPOOLパケットを受信している。
12
![Page 13: Hokkaido.cap#7 ケーススタディ(セキュリティ解析:前編)](https://reader031.vdocuments.net/reader031/viewer/2022020207/555e7e60d8b42abd468b49df/html5/thumbnails/13.jpg)
プリンタの氾濫 (2/2)
• TCP Stream を見ると、送信されているデータがMicrosoft Word文書でユーザー名がcsandersであることがわかる。あることがわかる。
13
![Page 14: Hokkaido.cap#7 ケーススタディ(セキュリティ解析:前編)](https://reader031.vdocuments.net/reader031/viewer/2022020207/555e7e60d8b42abd468b49df/html5/thumbnails/14.jpg)
FTPサーバへの侵入 (1/3)
• サンプルファイル : ftp-crack.pcap
• FTPサーバへの大量トラフィック• FTP- よく見ると認証に何度も失敗している
14
![Page 15: Hokkaido.cap#7 ケーススタディ(セキュリティ解析:前編)](https://reader031.vdocuments.net/reader031/viewer/2022020207/555e7e60d8b42abd468b49df/html5/thumbnails/15.jpg)
FTPサーバへの侵入 (2/3)
• ディスプレイフィルタを適用ftp.request.command == “USER” ||
ftp.request.command == "PASS"ftp.request.command == "PASS"
15
![Page 16: Hokkaido.cap#7 ケーススタディ(セキュリティ解析:前編)](https://reader031.vdocuments.net/reader031/viewer/2022020207/555e7e60d8b42abd468b49df/html5/thumbnails/16.jpg)
FTPサーバへの侵入 (3/3)
• アルファベット順にパスワードを試していることから、辞書攻撃で探っていることがわかる。
16
![Page 17: Hokkaido.cap#7 ケーススタディ(セキュリティ解析:前編)](https://reader031.vdocuments.net/reader031/viewer/2022020207/555e7e60d8b42abd468b49df/html5/thumbnails/17.jpg)
まとめと参考資料
17
![Page 18: Hokkaido.cap#7 ケーススタディ(セキュリティ解析:前編)](https://reader031.vdocuments.net/reader031/viewer/2022020207/555e7e60d8b42abd468b49df/html5/thumbnails/18.jpg)
この演習のまとめ
• フィンガープリントやポートスキャンやなどの不正侵入を試みる通信が、Wiresharkでどのよう正侵入を試みる通信が、Wiresharkでどのように見えるか確認しました。
• 大量のキャプチャデータから目的のパケットを絞り込む方法「ディスプレイフィルタ」の使い方を学びました。
•• 次回も引き続きセキュリティ解析のケースを学習しましょう。
18
![Page 19: Hokkaido.cap#7 ケーススタディ(セキュリティ解析:前編)](https://reader031.vdocuments.net/reader031/viewer/2022020207/555e7e60d8b42abd468b49df/html5/thumbnails/19.jpg)
参考資料
• 実践パケット解析 - Wiresharkを使ったトラブルシューティング
- http://www.oreilly.co.jp/books/9784873113517/- http://www.oreilly.co.jp/books/9784873113517/
- ISBN978-4-87311-351-7
• ICMPを使って対象サイトのOSを特定する「Xprobe」- http://itpro.nikkeibp.co.jp/members/ITPro/SEC_CHECK/20010921/1/
• Nmap - Free Security Scanner For Network Exploration & Security Audits.Security Audits.
- http://nmap.org/
19