ケーススタディケーススタディ（セキュリティ解析 – 前編）

Hokkaido.cap #7

2011.10.212011.10.21

Masayuki YAMAKI

今日の目標

• ネットワークセキュリティに関するシナリオを体験し、これらのパケットがWiresharkでどのようWiresharkに見えるか確認しましょう。

• 解析作業をとおして「ディスプレイフィルタ」の使い方を覚えましょう。

2

前回までのおさらい

• これまでの資料を以下のURLで公開しています。（USBメモリにも収録しています）Wiresharkを初めて使う方は参照しながら進めWiresharkを初めて使う方は参照しながら進めてみてください。

http://www.slideshare.net/eightroll

• 操作方法がわからない場合は、遠慮せずにどんどん質問してください。んどん質問してください。

3

今日の進め方

• 「実践パケット解析第9章ケーススタディ

（セキュリティ解析）」の内容をベースに進めます。本書をお持ちの方は演習に合わせて参照してください。（スライドには概要のみ記載しています）

• 気付いた点やわからない点があれば自由にディスカッションしましょう。ディスカッションしましょう。

4

演習資料

－ セキュリティ解析（前編） －

5

OSのフィンガープリント (1/3)

• サンプルファイル : osfingerprinting.pcap

• ICMP通信が記録されているキャプチャファイル• ICMP- 一般的には使用されない 「Timestamp request」「Timestamp reply」 「Address mask request」「Information request」 などが記録されている。

6

OSのフィンガープリント (2/3)

• OS Finger Print とは

- 標的ホストのOSを推測する方法の一つ。- OS

- OSごとのTCP/IPの実装に関する特徴（TCPの初期シーケンス番号やFINパケットに関する応答、ICMPのメッセージなど）から、OSの種類を推測する。

7

OSのフィンガープリント (3/3)

• ディスプレイフィルタを適用icmp.type == 13 || icmp.type == 15 || icmp.type == 17

8

参考 : ICMP タイプ一覧

タイプ 説明

0 エコー応答 (Echo Reply)

3 宛先到達不能(Destination Unreachable)

タイプ 説明

13 タイムスタンプ(Timestamp)

14 タイムスタンプ応答(Destination Unreachable)

4 発信元抑制 (Source Quench)

5 リダイレクト (Redirect)

8 エコー要求 (Echo Request)

9 ルータ通知(Router Advertisement)

10 ルータ要求 (Router Solicitation)

14 タイムスタンプ応答(Timestamp Reply)

15 インフォメーション要求(Information Request)

16 インフォメーション応答(Information Reply)

17 アドレスマスク要求(Address Mask Request)

9

11 時間超過 (Time Exceeded)

12 パラメータ問題(Parameter Problem)

(Address Mask Request)

18 アドレスマスク応答(Address Mask Reply)

http://www.iana.org/assignments/icmp-parameters/icmp-parameters.xml

ポートスキャン (1/1)

• サンプルファイル : portscan.pcap

• ポートスキャン（通信可能なTCP、UDPのポートを探す）の一部を抜粋したキャプチャファイルを探す）の一部を抜粋したキャプチャファイル

- Telnet、microsoft-ds、FTP、SMTPなど攻撃がしやすいポートに対して行われることが多い。

10

参考 : ポートスキャンの種類

• 代表的なポートスキャナ「nmap」を使用した例

- TCP SYN スキャン : nmap_SYN_scan.pcap» nmap -sS -A -v <hostname>» nmap -sS -A -v <hostname>

- TCP SYN スキャン (All TCP ports) :nmap_SYN-All_scan.pcap

» nmap -sS -p 1-65535 -A -v <hostname>

- TCP FIN スキャン : nmap_FIN_scan.pcap» nmap -sF -A -v <hostname>

- UDP スキャン : nmap_UDP_scan.pcap» nmap -sU -A -v <hostname>

11

プリンタの氾濫 (1/2)

• サンプルファイル : printerproblem.pcap

• プリンタからおかしなものが印刷される•- プリンタサーバでキャプチャを開始。

- プリンタサーバ（10.100.16.15）は特定のクライアント（10.100.17.47）から大量にSPOOLパケットを受信している。

12

プリンタの氾濫 (2/2)

• TCP Stream を見ると、送信されているデータがMicrosoft Word文書でユーザー名がcsandersであることがわかる。あることがわかる。

13

FTPサーバへの侵入 (1/3)

• サンプルファイル : ftp-crack.pcap

• FTPサーバへの大量トラフィック• FTP- よく見ると認証に何度も失敗している

14

FTPサーバへの侵入 (2/3)

• ディスプレイフィルタを適用ftp.request.command == “USER” ||

ftp.request.command == "PASS"ftp.request.command == "PASS"

15

FTPサーバへの侵入 (3/3)

• アルファベット順にパスワードを試していることから、辞書攻撃で探っていることがわかる。

16

まとめと参考資料

17

この演習のまとめ

• フィンガープリントやポートスキャンやなどの不正侵入を試みる通信が、Wiresharkでどのよう正侵入を試みる通信が、Wiresharkでどのように見えるか確認しました。

• 大量のキャプチャデータから目的のパケットを絞り込む方法「ディスプレイフィルタ」の使い方を学びました。

•• 次回も引き続きセキュリティ解析のケースを学習しましょう。

18

参考資料

• 実践パケット解析 - Wiresharkを使ったトラブルシューティング

- http://www.oreilly.co.jp/books/9784873113517/- http://www.oreilly.co.jp/books/9784873113517/

- ISBN978-4-87311-351-7

• ICMPを使って対象サイトのOSを特定する「Xprobe」- http://itpro.nikkeibp.co.jp/members/ITPro/SEC_CHECK/20010921/1/

• Nmap - Free Security Scanner For Network Exploration & Security Audits.Security Audits.

- http://nmap.org/

19