Diese Präsentation wurde erfolgreich gemeldet.
Wir verwenden Ihre LinkedIn Profilangaben und Informationen zu Ihren Aktivitäten, um Anzeigen zu personalisieren und Ihnen relevantere Inhalte anzuzeigen. Sie können Ihre Anzeigeneinstellungen jederzeit ändern.

Hokkaido.cap#7 ケーススタディ(セキュリティ解析:前編)

2.248 Aufrufe

Veröffentlicht am

  • Als Erste(r) kommentieren

  • Gehören Sie zu den Ersten, denen das gefällt!

Hokkaido.cap#7 ケーススタディ(セキュリティ解析:前編)

  1. 1. ケーススタディ(セキュリティ解析 – 前編) Hokkaido.cap #7 2011.10.21 Masayuki YAMAKI
  2. 2. 今日の目標• ネットワークセキュリティに関するシナリオを体 Wireshark 験し、これらのパケットがWiresharkでどのよう に見えるか確認しましょう。• 解析作業をとおして「ディスプレイフィルタ」の使 い方を覚えましょう。 2
  3. 3. 前回までのおさらい• これまでの資料を以下のURLで公開しています。 (USBメモリにも収録しています) Wiresharkを初めて使う方は参照しながら進め てみてください。 http://www.slideshare.net/eightroll• 操作方法がわからない場合は、遠慮せずにど んどん質問してください。 3
  4. 4. 今日の進め方• 「実践パケット解析 第9章 ケーススタディ (セキュリティ解析)」の内容をベースに進めま す。本書をお持ちの方は演習に合わせて参照 してください。 (スライドには概要のみ記載しています)• 気付いた点やわからない点があれば自由に ディスカッションしましょう。 4
  5. 5. 演習資料- セキュリティ解析(前編) - 5
  6. 6. OSのフィンガープリント (1/3)• サンプルファイル : osfingerprinting.pcap• ICMP通信が記録されているキャプチャファイル ICMP - 一般的には使用されない 「Timestamp request」 「Timestamp reply」 「Address mask request」 「Information request」 などが記録されている。 6
  7. 7. OSのフィンガープリント (2/3)• OS Finger Print とは OS - 標的ホストのOSを推測する方法の一つ。 - OSごとのTCP/IPの実装に関する特徴(TCPの 初期シーケンス番号やFINパケットに関する 応答、ICMPのメッセージなど)から、OSの種 類を推測する。 7
  8. 8. OSのフィンガープリント (3/3)• ディスプレイフィルタを適用 icmp.type == 13 || icmp.type == 15 || icmp.type == 17 8
  9. 9. 参考 : ICMP タイプ一覧タイプ 説明 タイプ 説明 0 エコー応答 (Echo Reply) 13 タイムスタンプ 3 宛先到達不能 (Timestamp) (Destination Unreachable) 14 タイムスタンプ応答 4 発信元抑制 (Source Quench) (Timestamp Reply) 5 リダイレクト (Redirect) 15 インフォメーション要求 (Information Request) 8 エコー要求 (Echo Request) 16 インフォメーション応答 9 ルータ通知 (Information Reply) (Router Advertisement) 17 アドレスマスク要求10 ルータ要求 (Router Solicitation) (Address Mask Request)11 時間超過 (Time Exceeded) 18 アドレスマスク応答12 パラメータ問題 (Address Mask Reply) (Parameter Problem) http://www.iana.org/assignments/icmp-parameters/icmp-parameters.xml 9
  10. 10. ポートスキャン (1/1)• サンプルファイル : portscan.pcap• ポートスキャン(通信可能なTCP、UDPのポート を探す)の一部を抜粋したキャプチャファイル - Telnet、microsoft-ds、FTP、SMTPなど攻撃がしやす いポートに対して行われることが多い。 10
  11. 11. 参考 : ポートスキャンの種類• 代表的なポートスキャナ「nmap」を使用した例 - TCP SYN スキャン : nmap_SYN_scan.pcap » nmap -sS -A -v <hostname> - TCP SYN スキャン (All TCP ports) : nmap_SYN-All_scan.pcap » nmap -sS -p 1-65535 -A -v <hostname> - TCP FIN スキャン : nmap_FIN_scan.pcap » nmap -sF -A -v <hostname> - UDP スキャン : nmap_UDP_scan.pcap » nmap -sU -A -v <hostname> 11
  12. 12. プリンタの氾濫 (1/2)• サンプルファイル : printerproblem.pcap• プリンタからおかしなものが印刷される - プリンタサーバでキャプチャを開始。 - プリンタサーバ(10.100.16.15)は特定のクライアント (10.100.17.47)から大量にSPOOLパケットを受信し ている。 12
  13. 13. プリンタの氾濫 (2/2)• TCP Stream を見ると、送信されているデータが Microsoft Word文書でユーザー名がcsandersで あることがわかる。 13
  14. 14. FTPサーバへの侵入 (1/3)• サンプルファイル : ftp-crack.pcap• FTP FTPサーバへの大量トラフィック - よく見ると認証に何度も失敗している 14
  15. 15. FTPサーバへの侵入 (2/3)• ディスプレイフィルタを適用 ftp.request.command == “USER” || ftp.request.command == "PASS" 15
  16. 16. FTPサーバへの侵入 (3/3)• アルファベット順にパスワードを試していることか ら、辞書攻撃で探っていることがわかる。 16
  17. 17. まとめと参考資料 17
  18. 18. この演習のまとめ• フィンガープリントやポートスキャンやなどの不 正侵入を試みる通信が、Wiresharkでどのよう に見えるか確認しました。• 大量のキャプチャデータから目的のパケットを 絞り込む方法「ディスプレイフィルタ」の使い方 を学びました。• 次回も引き続きセキュリティ解析のケースを学 習しましょう。 18
  19. 19. 参考資料• 実践パケット解析 - Wiresharkを使ったトラブル シューティング - http://www.oreilly.co.jp/books/9784873113517/ - ISBN978-4-87311-351-7• ICMPを使って対象サイトのOSを特定する「Xprobe」 - http://itpro.nikkeibp.co.jp/members/ITPro/SEC_CHECK/20010921/1/• Nmap - Free Security Scanner For Network Exploration & Security Audits. - http://nmap.org/ 19

×