「ネットワーク パケットを読む会(仮)」開催

昨日 (6/24) に「ネットワーク パケットを読む会(仮)」を無事開催しました。って言うか開催の告知をここに書いてなかったですね。
直前まで ATND の登録者が少なくってどうなるか心配だったんですが、結局 8 名の参加で開催できました。参加していただいた皆さん、特に学生さんを 3 人も連れてきていただいたととろ先生 (id:magisystem さん) ありがとうございました。
さて、当日の内容を報告しておきます。
今回は SANS Digital Forensics and Incident Response Challenge の課題パケットを読んでみました。この Challenge 自体は単純なパケット解析というよりはそれを基にしたフォレンジックなのですが、その分パケット解析自体は比較的簡単な内容なので、取り上げてみました。
パケット解析初心者の学生さんもいらっしゃるので、まずパケット解析に使うツールの紹介から。今回は Wireshark を使いましたが、Microsoft Network Monitor についても紹介。
そこから本題の Challenge の Evidence File の解析で、Wireshark の使い方を交えつつ設問を順に見ていきます (詳しい設問内容は SANS のページを参照してください)。ダウンロードされるファイルの MD5 ハッシュを求める設問など、パケット解析とは直接関係ない設問は飛ばしつつ進めていきましたが時間の関係で最後まできちんと見ることはできず。それでもこういう課題についてどういう風に見ていくのか、という基礎的な部分の説明はできたと思います。
さて次回は今回の内容や参加者層、反省点を踏まえてパケット解析初心者に向け、ツールの使い方 (主に Wireshark) とパケット読み方 (各層ごとのプロトコルの見かた) を中心にしたチュートリアルをやってみたいと考えています。エキスパートの方には初心者、学生さんのスキル向上に力添えをお願いしたいですね。
具体的には O'REILLY の「実践 パケット解析――Wiresharkを使ったトラブルシューティング」を参考書に、この本のサンプル キャプチャ ファイル (前記のページからダウンロードできます) を使って進めようかと思ってます。
日程は、来月は「ブラウザー勉強会」の開催があるので、今の所 8 月かなあ...。詳しい事が決まればどこかで告知しますので、よろしくお願いいたします。