GPLのパケットモニタリングソフトEtherealの後継ソフト 現在(06年09月)は名称がかわっただけで両ソフトの差異はそこまでない
名前が変わった経緯が書かれてる記事 http://itpro.nikkeibp.co.jp/article/USNEWS/20060614/240811/ http://opentechpress.jp/article.pl?sid=06/06/13/0238247
実践 パケット解析 第3版 ―Wiresharkを使ったトラブルシューティング
1 はじめに 2 検証環境 2.1 ネットワーク構成 2.2 版数 3 デフォルトの状態確認 4 IPアドレスを名前で表示する方法 4.1 hostsファイルの作成 4.2 Wiresharkの設定変更 5 MACアドレスを名前で表示する方法 5.1 ethersファイルの作成 5.2 Wiresharkの設定変更 Z 参考情報 1 はじめに Wiresharkで表示するIPアドレスやMACアドレスを、数値ではなく名前で表示する方法を説明します。 2 検証環境 2.1 ネットワーク構成 サーバとクライアントの2台構成です。図中のeth0はNICの名前です。 192.168.122.0/24 c…
【ツール】 ◆Wireshark (wireshark.org) https://www.wireshark.org/ 【ダウンロード】 ◆Download Wireshark (wireshark.org) https://www.wireshark.org/download.html 【概要】 項目 内容 最新バージョン 3.6.2 最終更新日 開発者 wireshark.org 【関連まとめ記事】◆全体まとめ ◆ネットワークフォレンジックツール (まとめ) https://security-tools.hatenablog.com/entry/Network_Forensic_Tool
QUICではTLS1.3による暗号化・認証 (AEAD; Authenticated Encryption with Additional Data) が採用されており、InitialメッセージではTLS1.3の暗号化・認証アルゴリズム合意(Client Hello/Server Hello)及び暗号化・認証に必要なKey情報(key_share)の交換が行われる。 TLS1.2までとは異なり、Client HelloにExtensionとしてkey_shareを設定し、Client Helloでのクライアントからのアルゴリズム提案と同時に必要なkey情報をServerに渡すことで、TLSハン…
はじめに FTPを使ったアプリケーションに問題があった際に、正常であるFTPの挙動を確認しました。その際に、Wiresharkを使った方法を備忘録として残してます。 docker 環境 FTP Server: stilliard/pure-ftpd FTP Client: Ubuntu 18.04 https://hub.docker.com/r/stilliard/pure-ftpd/ docker 環境の構築 今回はFTP ServerとClientを分けて、dockerホストを2つ作成します。最初に、docker環境上でFTP Serverを構築します。 FTP Server 前述したp…
はじめに QUICのパケットキャプチャ Google ChromeをTLS pre-master-secret取得モードで起動 ChromeのQUICサポートを明示的に有効にする nginxのQUICテスト環境へのアクセス WiresharkでのQUICの見え方 WiresharkでのTLSのデコード おわりに はじめに QUICプロトコルは2021年5月にRFC 9000で標準化されたプロトコル。HTTP/3と併せて使うことが想定されている。 UDPベースのトランスポートを提供しており、データに加えてヘッダも暗号化されて伝送されるため、従来のTCPのようなシーケンス番号による解析が難しくなっ…
日記 断酒14日目。23:30–8:30睡眠。12ポモドーロ。 最近抗うつ薬をやめたら、また不安が増して日常生活に支障をきたしそうになったので、病院でまたもらってきた。抗うつ薬を飲んで遅めの昼ごはんを食べたあと、食べすぎたのか薬のせいかあるいはその両方かわからないがとにかく気分が悪くなったので、横になっていた。 最近、小説を読みたいが何を読めばいいかわからなかったので、自分で書き始めた。自分の文章は当然読みやすいので割とおもしろいが、愚痴のような内容になってしまった。書き進めたい。 マスタリングTCP/IPを読み進めた。2章まで読んだ。パケットの概念など、書いてあることはわかるが、パケット自体…
Wi-Fiの 自分自身以外の パケットをキャプチャして解析してみます。 macOS 10.15 CatalinaまではWireshark単体で実施できましたが、macOS 11.0.1 Big SurからはWiresharkからは実施できない模様。 接続中の周波数・帯域幅の確認 ワイヤレス診断の起動とキャプチャの開始 端末のアクセスポイントへの接続 キャプチャの停止 キャプチャデータの確認 接続中の周波数・帯域幅の確認 Altキーを押しながらWi-Fiアイコンをクリックし、接続中のアクセスポイントの周波数・帯域幅を確認する。 接続中のWi-Fi情報の確認 ワイヤレス診断の起動とキャプチャの開始…
Wiresharkの画面をカスタマイズしてみます。 Preference(設定)メニューの表示 ペインレイアウトのカスタマイズ レイアウト設定 表示項目設定 パケット一覧の表示列のカスタマイズ 列の追加 Preference(設定)メニューの表示 macOSなら Wireshark > Preferences... で設定画面を表示させます。 Windowsなら 編集 > 設定 で表示。 設定画面の表示 ペインレイアウトのカスタマイズ 設定画面が表示されたら、 Appearance > Layout でペインレイアウトの設定画面を表示させます。 ペインレイアウトのカスタマイズ レイアウト設定 …
Wiresharkを使って実際にパケットキャプチャをしてみます。 パケットキャプチャの開始と停止 キャプチャ結果の表示 パケットリストペイン パケット詳細ペイン パケットバイトペイン パケットキャプチャの保存 パケットキャプチャの開始と停止 キャプチャ対象のインターフェースを選択します。 ここでは Wi-Fi: en0 をサンプルとして選択。 対象のPCで通信に使っているインターフェースを選択してください。 選択後、左上のサメのヒレのようなマークをクリックするとパケットキャプチャが開始されます。 パケットキャプチャを開始した状態で、ブラウザ等で適当なページを表示させると、キャプチャされたパケッ…
Wiresharkのダウンロード Wiresharkのインストール macOS ディスクイメージの展開とインストール パケットキャプチャに必要な権限変更 システムパスへの追加 Wiresharkの起動 パスの確認 Linux Ubuntu系 CentOS(RHEL)系 Windows まずはWiresharkをインストールしてみます。 Wiresharkのダウンロード 以下のサイトからご自身のOSに合わせたパッケージをダウンロードします。 www.wireshark.org WiresharkサイトトップからDownloadを選択OSに合わせてWiresharkをダウンロード Wireshar…
大量のエラー Wiresharkでは以下のフィルターを入れると怪しいエラーを絞って表示ができます。 tcp.analysis.flags && !tcp.analysis.window_updateそんな中であるパケットキャプチャーの結果を見ていると TCP Dup ACK.. TCP Fast Restransmmison... Out of Order TCP Spurious Retransmission... という見慣れないエラーがオンパレード。一方で別のし掛け方でパケットキャプチャを見ると上記は消えたので、Wireshark側が二重のパケットを見て色々と判断したんだろうな~っと。同…
いまさら kubectl krew を使い始めたので、有名どころを確認してみました。 Kubernetes(以後はk8s)は業務でEKSを利用していて、とはいえメインの担当ではないのでたまにトラブルシュートの支援で kubectl を打つことがある程度です。今となっては保持者も珍しくない資格 CKA/CKAD も取得しましたが、正直いって普段はk8sを頻繁に触らないので資格勉強をしている時が一番k8s力が高かったりします。。。 そんなゆるふわk8sエンジニアな私ですが、ふと気になって kubectl のプラグイン一覧を眺めてみました。 kubectl のプラグインは krew と呼ばれるツール…
1. nmapにてスキャンをするただしtcpの応答に対して何かフィルターをしてそうなので-sSを使用。そこでApache-Tomcatを使用しているのがわかった。 2. hacktrickを調べてみたところ興味深い記事にあたった。 <https://book.hacktricks.xyz/network-services-pentesting/pentesting-web/tomcat>●Default credentials ※デフォルトクレデンシャルに関してはほかにもあるのでさらに調べる必要があった。しかし興味深い文面があり、/Tomcat/htmlがあるとのこと。(Tomcatの管理画面…
こんにちは。筆者のえきそんです。ご覧いただきありがとうございます。自分用の記録です。間違っている箇所があるかもしれません。記事では自宅のwifiかつ自分の通信を監視しています。法律は詳しくありませんが公衆wifiなどでやると違法になるかもしれません。ご注意ください。 環境 自宅のwifiにPCとiphoneを接続し、PCでiphoneの通信を監視します。ざっくり構成図です。 PCにwiresharkをインストール 公式ページからwiresharkをPCにインストールします。※wiresharkは通信の内容を可視化するパケットキャプチャツールです www.wireshark.org 環境に応じて…
この大会は2022/4/30 9:00(JST)~2022/5/5 9:00(JST)に開催されました。 今回もチームで参戦。結果は1091点で1180チーム中206位でした。 自分で解けた問題をWriteupとして書いておきます。 Sanity Check (MISC 10) Discordに入り、#rolesチャネルのメッセージにフラグアイコンでリアクションすると、たくさんのチャネルが現れる。#generalチャネルのトピックを見ると、フラグが書いてあった。 actf{sice_deets_and_capture_flags} Interwebz (MISC 20) ncで接続するだけ。 …
コンテスト中に解けなかった問題の復習です。 問題 SOS, someone is torrenting on our network. One of your colleagues has been using torrent to download some files on the company’s network. Can you identify the file(s) that were downloaded? The file name will be the flag, like picoCTF{filename}. Captured traffic. ヒント Download…
Apple Silicon ネイティブ対応した Wireshark が 2021/11 にリリースされています。 Wireshark 3.6 から macOS Arm 64 ( Apple Silocon ) 版のパッケージがリリースされています。*1 今回は Apple Silicon 対応版 Wireshark のインストール方法を紹介したいと思います。 目次 目次 Wireshark 3.6 のインストール Wireshark3.6のダウンロード Wireshark 3.6のインストール Wireshark 3.6 の起動 Wiresharkへようこそ画面 試した環境 ホストOS Wir…
1 arpingコマンドとは? 2 検証環境 2.1 ネットワーク構成 2.2 版数 3 オプション一覧 4 書式 5 送信インタフェースを指定する方法(-I) 6 ARPパケットの送信回数を指定する方法(-c) 7 重複検出(-D) 7.1 同じIPアドレスを持ったホストが同一LAN上に存在する場合 7.2 同じIPアドレスを持ったホストが同一LAN上に存在しない場合 8 隣接ホストのARPテーブルを更新する方法(-U) 8.1 ARPテーブル更新のタイミング 8.2 ARPテーブル更新のための設定 8.3 動作確認 9 隣接ホストのARPテーブルを更新する方法(-A) 9.1 ARPテーブ…
前の記事 お伝えしたいこと FedoraにGNS3クライアントとGNS3サーバをインストールする手順をお伝えします。 ここでご紹介する手順は、以下サイトの内容を元にしています。 Computing for Geeks - How To Install GNS3 on Fedora 35/34/33/32/31 ただし、本ブログの手順は一部アレンジを加えています。 具体的には、以下の通りです。 VPCSの最新版をインストールする手順に変更 最小限のパッケージのみをインストールする手順に変更 本ブログでご紹介した手順は、Fedora35、GNS3 2.2.29にて動作確認済みです。 前の記事 お伝…
お伝えしたいこと GNS3とはどんなソフトかを簡単にご紹介します。 また、GNS3のインストール手順についても軽く触れます。 GNS3の具体的な操作方法については、本記事では紹介しません。 お伝えしたいこと GNS3とは GNS3のユースケース GNS3の良いところ 複雑な物理構成を再現できる 安定した動作 数々の便利機能との連携 Wiresharkとの連携 マルチベンダー Linked base VM GNS3と似たソフトウェア GNS3のアーキテクチャ GNS3の構成パターン GNS3の動作要件 OS その他ハードウェアスペック GNS3のインストール方法 Windows Mac Linu…
2022/04/28 日記 今日がGW前最後の出社日だった。ついにGWが来たー!と思いきや、新卒はGW中の平日に研修があるため普通に出社します()さすがに研修してるだけなんでGWまで有給使って休んでいいとかなったら、お給料もらってるのになんもしてなさ過ぎて申し訳ない気持ちにならなくもないない。あと、本部の配属というのは決まっていたんですが、詳しく部署や課の配属というのはいままで決まっていなかったんですよね。それが今日決まって、僕はセキュリティオペレーションセンター配属になりました。なぜか他の同期の子で志望していた子は弾かれて僕だけ配属という恐怖の結果になり、同期からは地味に愚痴を言われ、お前が…
2022/04/27 日記 今日で研修は一区切りということになった。ネットワークの基礎を浅く広く学習してきたが、これまで学生の頃に振れたことのあるプロトコルやネットワークの知識が既にあったため良い復習となる講義でした。ただ、ルーティングプロトコルや細かい話は改めて知識不足だと感じたし、セキュリティの技術者としてプロトコルに関しての浅い知識しかない状態はまずいと思ってる。それでも今回の研修を通してネットワーク基礎を学習しているんだし、このままCCNA取得を目指してping-tとテキストを読んでいきたいところではある。ping-tは問題掲載サイトなので通勤時とかに資格勉強と研修の振り返りを兼ねてお…
1 tsharkコマンドとは? 2 検証環境 2.1 ネットワーク構成 2.2 版数 3 インストール方法 4 オプション一覧 5 事前準備(一般ユーザの作成) 6 インタフェース一覧を表示する方法(-D) 7 Capture vs Display Filters 8 TCPパケットを絞り込む方法 8.1 ポート番号で絞り込む方法 8.2 SYNフラグで絞り込む方法 8.3 SYN+ACKフラグで絞り込む方法 9 ARPパケットを絞り込む方法 9.1 ARP requestを絞り込む方法(arp.opcode==1) 9.2 ARP replyパケットを絞り込む方法(arp.opcode==2…
Wiresharkで任意のHTTP Headerでフィルターしたいときの備忘録。 HTTPのフィルターがある場合 X-Forwarded-ForヘッダーのようにHTTPのフィルターが用意されている場合は、リファレンスのFIELD NAMEを指定すればフィルターできる。 HTTPのフィルターがない場合 HTTPのフィルターがない場合は、Custom HTTP Header Fieldsに登録するか、http containsを使う。 Custom HTTP Header Fieldsを使う場合 Preferences > Protocols > HTTP > Custom HTTP header…
以前こちらのエントリーで書いたようにadbをMacにインストールしました。 これによりAndroid端末のBluetooth通信のログを確認する準備が整ったので次は実際にログを見るところまでやりました。 ログを見るためにやったこと Androidのverifying_debugginについての説明に基づきながらやっていきます。 前提: AndoridとMacはUSB接続されていること*1 Mac上でadb shell dumpsys bluetooth_manager を実行し、ログが取れることを確認する 実際にやってみたところ、よく読めばわかるが割と記号的な情報が出力されました。 $ adb…