ばぁど・うぉっちんぐ

セキュリティを頑張りたいプログラマ。自由と春を求めて羽ばたく渡り鳥。

やっていること全部わかります - ネットワーク監視ツール Wireshark-

ばぁどです。

セキュリティエンジニアになるためサイバーセキュリティなどを勉強しています。

今回は、ネットワーク監視ツールである、Wiresharkについての使い方を調べてまとめてみました。

Wireshark とは

世界中で利用されているネットワーク解析ツールです。 ネットワークのプロトコルレベルで、通信の時にどのようなことがやり取りされているかを確認することができます。

Windows / mac / linux などで利用することができます。

Wireshark · Go Deep.

ネットワークプロトコルって?

通信を行う上での規約(プロトコル)のことです。 この規約があるからこそ、PCでも、携帯電話でも同じようにデータのやり取りを行うことができます。 このプロトコルに基づいてパケットが生成されます。

パケットって?

ネットワーク経由でやり取りされる、ひとまとめのデータのことです。

IT機器がネットワークを通じてデータをやりとりするとき、 一つのデータを細切れにして通信のネットワークに載せます。 この細切れにした時の単位が、パケットと呼ばれているものです。

携帯電話のパケ放として一昔前使われていた「パケット通信し放題」はこのパケットでのデータの通信をやり放題ということですね。

やってみる

Wireshark Download

下記、公式サイトよりDownload。 mac 版があってよかった。 https://www.wireshark.org/#download

適当にDownloadする。 f:id:UltraBirdTech:20180922123016p:plain

初期起動

起動した時の画面

f:id:UltraBirdTech:20180922123047p:plain

ここではなんのネットワークを監視するかを選択する。

選択した後の画面はこんな感じ。既に観測は始まっています。 f:id:UltraBirdTech:20180922143442p:plain

ネットワークがやり取りされているのを見てみる

ネットワークを選択して、画面を開くだけてすでにネットワークのキャプチャは始まっています。

試しに、Google Chromeから検索などをしてみてネットワークのキャプチャが取得できている状況を確認してみましょう。

f:id:UltraBirdTech:20180922134538g:plain

上記のようにGoogle にキーワードを入れて検索を押した後、ネットワークでやり取りが行われていることがわかるでしょうか? 今回は、ネットワークのやり取りが進んでいることをわかりやすくするために、gifを利用してみました。

キャプチャをファイルとして保存してみる

Wireshark で監視したキャプチャは、ファイルとして保存することができます。

ファイル形式は、pcapngもしくは、pcapです。

f:id:UltraBirdTech:20180922135214p:plain

ファイル形式として保存することで、エビデンスとして取っておいたりだとか、怪しいネットワークのやり取りをキャプチャできたら他の人に共有して一緒に調査とかできますね。

パケットの追跡をしてみる

Wiresharkから閲覧できるネットワークはパケット形式です。 なので、分割されたパケットを見てもデータの全容を把握することは難しいです。

このような際はストリームという単位で、流れ全体を表示して見ることができます。 f:id:UltraBirdTech:20180922135421p:plain

このままだとよく分からないのですが、TCPの流れとしての観測はこのようにすることでできます。 f:id:UltraBirdTech:20180922135506p:plain

上記の内容をファイル保存することも可能です。 不審なパケットのやり取りを見つけたら、このようにストリームとして追って、どのような情報がやり取りしているかをストリームという単位で観測することができます。

ダウンロードしている画像を確認してみる

キャプチャしたファイルの中に、http でダウンロードしたパケットがあれば、オブジェクトを抽出することが可能です。

「File」→「Export Objects」→ 「HTTP」 f:id:UltraBirdTech:20180922141528p:plain

下記が今回、HTTPでダウンロードしたオブジェクトの一覧。 念のため、ホスト部分はマスクしています。 f:id:UltraBirdTech:20180922141801p:plain

なにやら、画像ファイルがダウンロードされていますね。 なんの画像がダウンロードされているか、確認してみましょう。

f:id:UltraBirdTech:20180922142037p:plain

あ・・・・

f:id:UltraBirdTech:20180922142053j:plain

えーと、企業さんによっては会社のネットワークを監視している場合があります。 もし、そういう企業さんだと上記のような気まずいパターンが起こりうることがあります。

会社のネットワークや会社PCで自分好みの画像を落としたりするのはやめましょう。

バレます(可能性があります)

YouTube

最近、こういうツールはブログなどを読み漁るだけじゃなくて、Youtube でツールの名前入れてみて動画を探せと言われたので探してみた。

Wireshark tutorial for Bugginer ( 英語 )

www.youtube.com

Youtube で調べて見たら日本語でとても分かりやすいNTTさんの映像教材とかもありました。 ただ、最後の注意書きで無断転載禁止と書いてあったので、少しビビる。

ぜひ、ツールの使い方がわからない場合は、Youtubeなども利用してみてください。

まとめ

実際にやってみたWiresharkのポイント。

  • Wireshark はネットワーク監視ツール
  • Wireshark を使うことで不審なやり取りをキャプチャして調査ができる
  • 会社のPCで土屋太鳳ちゃんの画像をダウンロードしているとバレるかも!仕事は真面目にやろう!!

感想

今回は、Wiresharkというネットワーク監視ツールで遊んでみました。 ネットワーク部分は自分でも認識している通り苦手分野です。

とはいえ、情報処理安全確保支援士であるので、基本的な知識はあると思っている。Wiresharkを使えば、なかなか可視化できないネットワーク部分でも実際にデータの流れとか見えるようになるので、もっとネットワークの勉強をしたい時などは積極的に使っていきたいなと思いました。