Diese Präsentation wurde erfolgreich gemeldet.
Wir verwenden Ihre LinkedIn Profilangaben und Informationen zu Ihren Aktivitäten, um Anzeigen zu personalisieren und Ihnen relevantere Inhalte anzuzeigen. Sie können Ihre Anzeigeneinstellungen jederzeit ändern.

Hokkaido.cap#8 ケーススタディ(セキュリティ解析:後編)

2.177 Aufrufe

Veröffentlicht am

  • Als Erste(r) kommentieren

  • Gehören Sie zu den Ersten, denen das gefällt!

Hokkaido.cap#8 ケーススタディ(セキュリティ解析:後編)

  1. 1. ケーススタディ(セキュリティ解析 – 後編) Hokkaido.cap #8 2011.11.25 Masayuki YAMAKI
  2. 2. 今日の目標• ネットワークセキュリティに関するシナリオを体 Wireshark 験し、これらのパケットがWiresharkでどのよう に見えるか確認しましょう。• 解析作業をとおしてWiresharkの使い方を覚え ましょう。 2
  3. 3. 前回までのおさらい• これまでの資料を以下のURLで公開しています。 (USBメモリにも収録しています) Wiresharkを初めて使う方は参照しながら進め てみてください。 http://www.slideshare.net/eightroll• 操作方法がわからない場合は、遠慮せずにど んどん質問してください。 3
  4. 4. 今日の進め方• 「実践パケット解析 第9章 ケーススタディ (セキュリティ解析)」の内容をベースに進めま す。本書をお持ちの方は演習に合わせて参照 してください。 (スライドには概要のみ記載しています)• サンプルとして、追加でいくつかのパケットを添 付しています。• 気付いた点やわからない点があれば自由に ディスカッションしましょう。 4
  5. 5. 演習資料- セキュリティ解析(後編) - 5
  6. 6. Blasterワーム (1/2)• サンプルファイル : blaster.pcap• PCを起動すると60秒後にシャットダウンされる PC 60• 1793番と4444番ポートを使って他のPCと通信 - 他のPCでは見られない動き 6
  7. 7. Blasterワーム (2/2)• バイナリ部分に注目する - 2番目のパケット : C:¥WINNT¥system32 へのアクセス - 4番目のパケット : msblast.exe の文字列(その他の見分け方については書籍の「監訳注」を参照) 7
  8. 8. 隠された情報 (1/2)• サンプルファイル : covertinfo.pcap• あなたはネットワークのセキュリティ管理者になっ たつもりで疑わしい社員の通信を監視 - まずはディスプレイフィルタをかけて通常の業務で発 生しない通信を探す - 日中にpingのやりとりをしているのがおかしい 8
  9. 9. 隠された情報 (2/2)• バイナリを見ると、pingのデータ部を使ってやりと りしている (Loki と呼ばれる手法) 通常のpingのデータ部は aから始まる32byteの文字列 9
  10. 10. ハッカーの視点 (1/2)• サンプルファイル : hackersview.pcap• ARPキャッシュポイゾニングを使用し、ネットワー ARP ク管理者とルータの間に割り込む• ネットワーク管理者がtelnetを使ってルータと通 信しているところを捉える 10
  11. 11. ハッカーの視点 (2/2)• telnetは平文のプロトコルであるため、ユーザー IDとパスワードが簡単に読み取れる 11
  12. 12. いろんなパケットを見てみよう• slammer.pcap - SlammerワームによるDCE/RPC送信 注意 : このパケットはウィルス対策ソフトによってはワームとして検知します• dns-remoteshell.pcap - DNSポートによるリモートシェルの実行• teardrop.pcap - TearDrop 攻撃• SSH-bruteforce.pcap - SSH ブルートフォース攻撃 12
  13. 13. まとめと参考資料 13
  14. 14. この演習のまとめ• セキュリティに関するシナリオがWiresharkでど のように見えるか学びました。• 解析作業をとおしてWiresharkの使い方を学び ました。• 今回はセキュリティに関するパケットを解析して みましたが、他にもいろんなパケットを覗いてみ ると面白いかもです。 14
  15. 15. 参考資料• 実践パケット解析 - Wiresharkを使ったトラブル シューティング - http://www.oreilly.co.jp/books/9784873113517/ - ISBN978-4-87311-351-7• Wireshark.org - Sample Captures - http://wiki.wireshark.org/SampleCaptures 15
  16. 16. 16

×