Wireshark

QUICではTLS1.3による暗号化・認証 (AEAD; Authenticated Encryption with Additional Data) が採用されており、InitialメッセージではTLS1.3の暗号化・認証アルゴリズム合意(Client Hello/Server Hello)及び暗号化・認証に必要なKey情報(key_share)の交換が行われる。 TLS1.2までとは異なり、Client HelloにExtensionとしてkey_shareを設定し、Client Helloでのクライアントからのアルゴリズム提案と同時に必要なkey情報をServerに渡すことで、TLSハン…

はじめに FTPを使ったアプリケーションに問題があった際に、正常であるFTPの挙動を確認しました。その際に、Wiresharkを使った方法を備忘録として残してます。 docker 環境 FTP Server: stilliard/pure-ftpd FTP Client: Ubuntu 18.04 https://hub.docker.com/r/stilliard/pure-ftpd/ docker 環境の構築 今回はFTP ServerとClientを分けて、dockerホストを2つ作成します。最初に、docker環境上でFTP Serverを構築します。 FTP Server 前述したp…

はじめに QUICのパケットキャプチャ Google ChromeをTLS pre-master-secret取得モードで起動 ChromeのQUICサポートを明示的に有効にする nginxのQUICテスト環境へのアクセス WiresharkでのQUICの見え方 WiresharkでのTLSのデコード おわりに はじめに QUICプロトコルは2021年5月にRFC 9000で標準化されたプロトコル。HTTP/3と併せて使うことが想定されている。 UDPベースのトランスポートを提供しており、データに加えてヘッダも暗号化されて伝送されるため、従来のTCPのようなシーケンス番号による解析が難しくなっ…

日記 断酒14日目。23:30–8:30睡眠。12ポモドーロ。 最近抗うつ薬をやめたら、また不安が増して日常生活に支障をきたしそうになったので、病院でまたもらってきた。抗うつ薬を飲んで遅めの昼ごはんを食べたあと、食べすぎたのか薬のせいかあるいはその両方かわからないがとにかく気分が悪くなったので、横になっていた。 最近、小説を読みたいが何を読めばいいかわからなかったので、自分で書き始めた。自分の文章は当然読みやすいので割とおもしろいが、愚痴のような内容になってしまった。書き進めたい。 マスタリングTCP/IPを読み進めた。2章まで読んだ。パケットの概念など、書いてあることはわかるが、パケット自体…

Wiresharkの画面をカスタマイズしてみます。 Preference(設定)メニューの表示 ペインレイアウトのカスタマイズ レイアウト設定 表示項目設定 パケット一覧の表示列のカスタマイズ 列の追加 Preference(設定)メニューの表示 macOSなら Wireshark > Preferences... で設定画面を表示させます。 Windowsなら 編集 > 設定 で表示。 設定画面の表示 ペインレイアウトのカスタマイズ 設定画面が表示されたら、 Appearance > Layout でペインレイアウトの設定画面を表示させます。 ペインレイアウトのカスタマイズ レイアウト設定 …

Wiresharkを使って実際にパケットキャプチャをしてみます。 パケットキャプチャの開始と停止 キャプチャ結果の表示 パケットリストペイン パケット詳細ペイン パケットバイトペイン パケットキャプチャの保存 パケットキャプチャの開始と停止 キャプチャ対象のインターフェースを選択します。 ここでは Wi-Fi: en0 をサンプルとして選択。 対象のPCで通信に使っているインターフェースを選択してください。 選択後、左上のサメのヒレのようなマークをクリックするとパケットキャプチャが開始されます。 パケットキャプチャを開始した状態で、ブラウザ等で適当なページを表示させると、キャプチャされたパケッ…

Wiresharkのダウンロード Wiresharkのインストール macOS ディスクイメージの展開とインストール パケットキャプチャに必要な権限変更 システムパスへの追加 Wiresharkの起動 パスの確認 Linux Ubuntu系 CentOS(RHEL)系 Windows まずはWiresharkをインストールしてみます。 Wiresharkのダウンロード 以下のサイトからご自身のOSに合わせたパッケージをダウンロードします。 www.wireshark.org WiresharkサイトトップからDownloadを選択OSに合わせてWiresharkをダウンロード Wireshar…

大量のエラー Wiresharkでは以下のフィルターを入れると怪しいエラーを絞って表示ができます。 tcp.analysis.flags && !tcp.analysis.window_updateそんな中であるパケットキャプチャーの結果を見ていると TCP Dup ACK.. TCP Fast Restransmmison... Out of Order TCP Spurious Retransmission... という見慣れないエラーがオンパレード。一方で別のし掛け方でパケットキャプチャを見ると上記は消えたので、Wireshark側が二重のパケットを見て色々と判断したんだろうな～っと。同…

1. nmapにてスキャンをするただしtcpの応答に対して何かフィルターをしてそうなので-sSを使用。そこでApache-Tomcatを使用しているのがわかった。 2. hacktrickを調べてみたところ興味深い記事にあたった。 <https://book.hacktricks.xyz/network-services-pentesting/pentesting-web/tomcat>●Default credentials ※デフォルトクレデンシャルに関してはほかにもあるのでさらに調べる必要があった。しかし興味深い文面があり、/Tomcat/htmlがあるとのこと。(Tomcatの管理画面…

こんにちは。筆者のえきそんです。ご覧いただきありがとうございます。自分用の記録です。間違っている箇所があるかもしれません。記事では自宅のwifiかつ自分の通信を監視しています。法律は詳しくありませんが公衆wifiなどでやると違法になるかもしれません。ご注意ください。 環境 自宅のwifiにPCとiphoneを接続し、PCでiphoneの通信を監視します。ざっくり構成図です。 PCにwiresharkをインストール 公式ページからwiresharkをPCにインストールします。※wiresharkは通信の内容を可視化するパケットキャプチャツールです www.wireshark.org 環境に応じて…

この大会は2022/4/30 9:00(JST)～2022/5/5 9:00(JST)に開催されました。 今回もチームで参戦。結果は1091点で1180チーム中206位でした。 自分で解けた問題をWriteupとして書いておきます。 Sanity Check (MISC 10) Discordに入り、#rolesチャネルのメッセージにフラグアイコンでリアクションすると、たくさんのチャネルが現れる。#generalチャネルのトピックを見ると、フラグが書いてあった。 actf{sice_deets_and_capture_flags} Interwebz (MISC 20) ncで接続するだけ。 …

コンテスト中に解けなかった問題の復習です。 問題 SOS, someone is torrenting on our network. One of your colleagues has been using torrent to download some files on the company’s network. Can you identify the file(s) that were downloaded? The file name will be the flag, like picoCTF{filename}. Captured traffic. ヒント Download…

1 arpingコマンドとは? 2 検証環境 2.1 ネットワーク構成 2.2 版数 3 オプション一覧 4 書式 5 送信インタフェースを指定する方法(-I) 6 ARPパケットの送信回数を指定する方法(-c) 7 重複検出(-D) 7.1 同じIPアドレスを持ったホストが同一LAN上に存在する場合 7.2 同じIPアドレスを持ったホストが同一LAN上に存在しない場合 8 隣接ホストのARPテーブルを更新する方法(-U) 8.1 ARPテーブル更新のタイミング 8.2 ARPテーブル更新のための設定 8.3 動作確認 9 隣接ホストのARPテーブルを更新する方法(-A) 9.1 ARPテーブ…

前の記事 お伝えしたいこと FedoraにGNS3クライアントとGNS3サーバをインストールする手順をお伝えします。 ここでご紹介する手順は、以下サイトの内容を元にしています。 Computing for Geeks - How To Install GNS3 on Fedora 35/34/33/32/31 ただし、本ブログの手順は一部アレンジを加えています。 具体的には、以下の通りです。 VPCSの最新版をインストールする手順に変更 最小限のパッケージのみをインストールする手順に変更 本ブログでご紹介した手順は、Fedora35、GNS3 2.2.29にて動作確認済みです。 前の記事 お伝…

お伝えしたいこと GNS3とはどんなソフトかを簡単にご紹介します。 また、GNS3のインストール手順についても軽く触れます。 GNS3の具体的な操作方法については、本記事では紹介しません。 お伝えしたいこと GNS3とは GNS3のユースケース GNS3の良いところ 複雑な物理構成を再現できる 安定した動作 数々の便利機能との連携 Wiresharkとの連携 マルチベンダー Linked base VM GNS3と似たソフトウェア GNS3のアーキテクチャ GNS3の構成パターン GNS3の動作要件 OS その他ハードウェアスペック GNS3のインストール方法 Windows Mac Linu…

2022/04/28 日記 今日がGW前最後の出社日だった。ついにGWが来たー！と思いきや、新卒はGW中の平日に研修があるため普通に出社します（）さすがに研修してるだけなんでＧＷまで有給使って休んでいいとかなったら、お給料もらってるのになんもしてなさ過ぎて申し訳ない気持ちにならなくもないない。あと、本部の配属というのは決まっていたんですが、詳しく部署や課の配属というのはいままで決まっていなかったんですよね。それが今日決まって、僕はセキュリティオペレーションセンター配属になりました。なぜか他の同期の子で志望していた子は弾かれて僕だけ配属という恐怖の結果になり、同期からは地味に愚痴を言われ、お前が…

1 tsharkコマンドとは? 2 検証環境 2.1 ネットワーク構成 2.2 版数 3 インストール方法 4 オプション一覧 5 事前準備(一般ユーザの作成) 6 インタフェース一覧を表示する方法(-D) 7 Capture vs Display Filters 8 TCPパケットを絞り込む方法 8.1 ポート番号で絞り込む方法 8.2 SYNフラグで絞り込む方法 8.3 SYN+ACKフラグで絞り込む方法 9 ARPパケットを絞り込む方法 9.1 ARP requestを絞り込む方法(arp.opcode==1) 9.2 ARP replyパケットを絞り込む方法(arp.opcode==2…

Wiresharkで任意のHTTP Headerでフィルターしたいときの備忘録。 HTTPのフィルターがある場合 X-Forwarded-ForヘッダーのようにHTTPのフィルターが用意されている場合は、リファレンスのFIELD NAMEを指定すればフィルターできる。 HTTPのフィルターがない場合 HTTPのフィルターがない場合は、Custom HTTP Header Fieldsに登録するか、http containsを使う。 Custom HTTP Header Fieldsを使う場合 Preferences > Protocols > HTTP > Custom HTTP header…

以前こちらのエントリーで書いたようにadbをMacにインストールしました。 これによりAndroid端末のBluetooth通信のログを確認する準備が整ったので次は実際にログを見るところまでやりました。 ログを見るためにやったこと Androidのverifying_debugginについての説明に基づきながらやっていきます。 前提: AndoridとMacはUSB接続されていること*1 Mac上でadb shell dumpsys bluetooth_manager を実行し、ログが取れることを確認する 実際にやってみたところ、よく読めばわかるが割と記号的な情報が出力されました。 $ adb…