タグ検索の該当結果が少ないため、タイトル検索結果を表示しています。
Wireshark によるパケット解析講座 1: Wiresharkの表示列をカスタマイズする
This post is also available in: English (英語) 概要 Wireshark は無料で利用できるプロトコル アナライザです。 Wireshark を使うと、ネットワーク トラフィックをキャプチャーしたり、キャプチャーしたパケットを表示させることができます。ITの専門職についているかたがたは、このツールを使って日々ネットワークのさまざまな問題を解決しています。セキュリティの専門家も、この Wireshark を使ってマルウェアが生成するトラフィックを確認しています。 そこで、今回は Wireshark の便利な機能のひとつである表示列のカスタマイズをご紹介したいと思います。Wireshark はデフォルトでは、非常にたくさんの情報を列表示してくれますが、これをカスタマイズすることで皆さん自身の用途に使いやすいようにできます。 本稿は Wireshark
This post is also available in: English (英語) 概要 本シリーズは、疑わしいネットワークアクティビティの調査やネットワークトラフィックのパケットキャプチャ(pcap)の確認を業務で行っておられるセキュリティ専門家を読者として想定しています。このため本稿での手順説明は読者の皆さんがWiresharkの使いかたをご存知であることを前提としています。また、本稿にて利用するWiresharkのバージョンは主に3.xとなります。 昨今、対象となる疑わしいネットワークアクティビティのトラフィックが暗号化されていることは珍しくありません。今はほとんどのWebサイトが Hypertext Transfer Protocol Secure(HTTPS)プロトコルを使用しており、そうした通常の Webサイトと同様にさまざまなマルウェアもまた HTTPS を利用していま
By Brad Duncan and Vijay Prakash April 1, 2021 at 6:00 AM Category: Tutorial, Unit 42, Unit 42 Tags: RDP, tutorial, Windows, Wireshark, Wireshark Tutorial This post is also available in: English (英語) 概要 近年、攻撃者がリモートデスクトッププロトコル(RDP)を悪用してセキュリティの甘いサーバーやエンタープライズネットワークにアクセスするケースが増えています。また2017年以降RDPはランサムウェアを使用するマルウェア攻撃の重要な攻撃ベクトルにもなっています。セキュリティ専門家もRDPの脆弱性を検出して攻撃を防ぐためのシグネチャを作成しており、このプロトコルには多くの注目が向けられています。
新型コロナウイルス禍で企業ネットワークの姿が変わってきています。ネットワーク管理にも変化に対応した手法が求められています。この特集ではネットワークを流れるパケットをキャプチャーして収集し、Pythonとリレーショナルデータベースを用いて精度よく解析するための実践的なテクニックを紹介します。第2回はパケット解析のツールとしてよく使われる「Wireshark」で「できる」こと、「できない」ことを通してパケットキャプチャーにプログラミングを導入する背景やその考え方を解説します。 パケット解析をする際によく使われる「Wireshark」をご存じでしょうか。オープンソースソフトウエア(OSS)として現在も活発に開発が続けられています。もはや業界標準と言っても差し支えないポピュラーなツールです。パケットキャプチャーの参考書などでは必ずと言っていいほど取り上げられており、Wiresharkの使い方がパケ
Wireshark によるパケット解析講座 2: 脅威インテリジェンス調査に役立つフィルタリング設定
表1. Wireshark の表示フィルター式で使われるブール演算子とその機能 Wireshark の表示フィルター式の適当な例を以下にあげます。 ip.addr eq 10.8.15[.]1 and dns.qry.name.len > 36 http.request && ip.addr == 10.8.15[.]101 http.request || http.response dns.qry.name contains microsoft or icmp Web トラフィックのフィルタリング 前回の Wireshark チュートリアルでは、Web トラフィックに次のフィルターを使いました。 http.request or tls.handshake.type eq 1 「http.request」という式からは HTTP リクエスト内の URL が得られます。そして「tls.han
表1. 「Windows NT」の行と対応する Microsoft Windows バージョン なぜ表 1 では「Windows NT 10.0」が「Windows 10 または Windows 11」を表すとされているのでしょうか。User-Agent 行の情報を減らす取り組みの一環で、Chrome や Edge、Firefox などの Web ブラウザーの開発者は Windows NT 10.0 の User-Agent 行に含める Windows バージョン番号を固定にしているのです。2023 年以降、Google Chrome ブラウザーの最新バージョンは、User-Agent 行の Windows のあらゆるバージョンを Windows NT 10.0 として報告するようになっています。 この措置は Apple macOS に関してもとられており、現行バージョンの macOS で
This post is also available in: English (英語) 概要 セキュリティ専門家は、不審なアクティビティのパケット キャプチャ (pcap) を確認するさい、詳細な検査をするため、pcap からオブジェクトをエクスポートしたい場合があります。本チュートリアルは、pcap からマルウェアや、そのほかの種類のオブジェクトをエクスポートする方法のヒントを提供します。 本稿は Wireshark のチュートリアル シリーズの連載第 4 回です。本シリーズでは、セキュリティ専門家が Wireshark をより効果的に使用するうえで役立つヒントを提供しています。本シリーズは 2019 年 7 月の初めて公開され、2024 年でも有効な内容となるよう、更新を続けています。 パロアルトネットワークスのお客さまは、Cortex XDR と XSIAM により、本稿で取り上げ
This post is also available in: English (英語) 概要 Ursnifは、GoziまたはIFSBと呼ばれることもあるバンキングマルウェア(金融マルウェア)です。Ursnifファミリのマルウェアには長年にわたり活動が見られ、現時点のサンプルには明確なトラフィックパターンがあります。 そこで本チュートリアルではWiresharkを使用し、Ursnif感染トラフィックのパケットキャプチャ(pcap)を確認していきます。セキュリティ専門家がUrsnifによる感染を検出・調査するさいはこうしたトラフィックパターンを理解しておくことが重要になります。 本チュートリアルで説明する内容は次のとおりです。 Ursnifの配布方法 Ursnifによるトラフィックの分類 Ursnifによる感染で発生した5種類のサンプルpcap 注意: 本チュートリアルは、Wireshark
This post is also available in: English (英語) 概要 ホストが感染した、または侵害されたとき、セキュリティ専門家は、ネットワークトラフィックのパケットキャプチャ(pcaps)にアクセスして、活動の内容を理解し、それがどのような種類の感染であるかを特定しなければなりません。 本チュートリアルでは、Trickbotを特定する方法についてのヒントを提供します。Trickbotは情報窃取を行うバンキングマルウェアで、2016年以降、感染被害が確認されています。Trickbotは悪意のあるスパム(マルスパム)を介して、またはEmotet、IcedID、Ursnifなどのマルウェアによって配信されます。 Trickbotには明確なトラフィックパターンがあります。本チュートリアルでは、2つの異なる経路で起こったTrickbot感染pcapsを確認していきます。1
新型コロナウイルス禍で企業ネットワークの姿が変わってきています。ネットワーク管理にも変化に対応した手法が求められています。この特集ではネットワークを流れるパケットをキャプチャーして収集し、Pythonとリレーショナルデータベースを用いて精度よく解析するための実践的なテクニックを紹介します。第2回 https://xtech.nikkei.com/atcl/nxt/column/18/01834/110500002/ まででソフトウエアによるトラフィック解析の趣旨について解説しました。第3回は具体的にパケット解析環境を構築します。 第3回はいよいよ実践編です。Pythonによるパケット解析環境を構築する手順を示すとともに、次回以降に解説する具体的な課題を解くための準備として、パケット分析の基本的なスタイルを実際のソースコードから説明します。パケットキャプチャーツール「Wireshark」では
はじめに Wiresharkをインストールはしたものの、何からしていいか分からない方向けに入門記事を書いてみました。 環境情報 Wireshark 3.2.2 パケットキャプチャ―されたファイルを読み込む 以下のように別サーバで解析したものは「ファイル>Open」で読み込ませます。 そうすると以下のようにカラフルな行が表示されます。 Wiresharkの画面 ここから気になる通信を追っていきますがまずは色の意味を確認します。 色付けルール 「表示」→「色付けルール」にて色が付くルールが確認できます。 デフォルトでは以下のようになっているかと思いますが、こちらはカスタマイズも可能です。 行の色の意味 例えば以下の青い部分の中を確認すると確かにルール通り通信がUDPであることを指しています。 UDPパケット 以下のようにUDPプロトコルであることが確かに確認できます。 User Datagra
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Wiresharkによるパケット解析講座 8:HTTPSトラフィックの復号
Wiresharkによるパケット解析講座 11: RDPトラフィックの復号
「Wireshark 4.0」が正式公開 ~デザインやフィルター構文を更新、32bit版はなし/フリーの高機能パケット解析ツール
Wiresharkでできないことができる、パケット解析×プログラミング
「Wireshark 3.7」開発版が公開 ~フィルター構文を刷新、32bit版Windows対応は終了/フリーの高機能パケット解析ツールの次期版に追加される機能を一足先に体験
「Wireshark 4.2」が正式公開 ~Arm64 Windowsインストーラーを追加、ダークモードに対応/フリーの高機能パケット解析ツール
フリーの高機能パケット解析ツール「Wireshark 4.0.2」が公開 ~2件の脆弱性を修正/
Wireshark によるパケット解析講座 3: ホストとユーザーと特定する
無料の高機能パケット解析ツール「Wireshark 4.2.1」が公開 ~5件の脆弱性が修正/旧安定版にも対策版
Wireshark によるパケット解析講座 4: Pcapからのオブジェクトのエクスポート
Wiresharkによるパケット解析講座 6: Ursnif感染の調査
Apple M1にネイティブ対応した「Wireshark 3.5」開発版が公開/フリーの高機能パケット解析ツールの次期版に追加される機能を一足先に体験
パケット解析講座 5: Trickbot感染の調査
Pythonでつくるパケット解析環境、RDBとの連係でこんなことができる
「Wireshark」v3.4.6が公開 ~無償の高機能パケット解析ツール/DVB-S2-BBのディセクターが無限ループに陥る問題が解決
3件の脆弱性を修正した「Wireshark 4.0.5」が公開/フリーの高機能パケット解析ツール
【Wireshark】色付けルール&パケット解析の見方 - (O+P)ut
kana2.ub.geo.jp
b.hatena.ne.jp/misozui
topics.smt.docomo.ne.jp
news.yahoo.co.jp
techblog.ap-com.co.jp
penpenkusanosuk.hatenablog.com