Tcpreplay は、あらかじめキャプチャしたネットワークトラフィックを 書き換えたり再送信したりするためのフリーのオープンソースユーティリティ群です。 もともとは IPS/IDS に対して悪意あるトラフィックパターンを再送信するために 設計されたものですが、Web サーバに再送信する機能など多くの進化を遂げました。 Version 4.0.0 では、スイッチ、ルータ、IP Flow/NetFlow アプライアンスを サポートするための機能やパフォーマンス向上がなされました。 実行例 - 10GigE to IP Flow Appliance: root@pw29:~# tcpreplay -i eth7 -tK --loop 5000 --unique-ip smallFlows.pcap File Cache is enabled Actual: 71305000 packets (
Bluetooth デバイス間を流れるトラフィックをキャプチャしたいと思い、関連する情報を調べてました。その調べた結果を整理するために、日記にまとめてみました。 Bluetooth デバイス間を流れるトラフィックのキャプチャ ノート PC 等に内蔵されている Bluetooth デバイスなどを使用する場合、「そのデバイスが送信する HCI データ」または「そのデバイスに向けて送信される HCI データ」しかキャプチャできません。Wireshark Wiki における「Bluetooth traffic to or from your machine」という記述、および hcidump の man マニュアルにおける「raw HCI data coming from and going to a Bluetooth device」という記述が、このことを裏付けています。 Bluetooth
RFC を読んでみよう さて DNS クライアントを作る前に、RFC を読んでみましょう。しかし、 RFC を「DNS」で検索 すると、77個もあります (2005/08/15 時点)。 また、「domain name」で検索 すると 43個です。重複分を除いても 90〜100 個はありそうな雰囲気です。 そこから Obsolete になっているものや、現在ではほとんど考慮しなくてもよくなったものを除いて 読むべきなのでしょうが、あいにくまともなリゾルバを作るつもりはありませんので、 当ページ管理者は RFC 1034、RFC 1035、RFC 1886 だけ読みました。 RFC を読むと照会と応答、いずれも以下のような構成になっているようです (「詳解 TCP/IP Vol.1 プロトコル」にならって、 ここでは「Query」を「照会」、「Response」を「応答」と表記することにしま
Mac OSX 10.5 LeopardにWiresharkを入れる機会があって、そこで色々と苦労したので自分のメモ的な意味も含めて手順を載せてみます。 インストールOS:Mac OSX 10.5.5(Leopardならおk) 必要なもの :X11(LeopardのDVDなどに入っています) === OSX 10.4.9の方はよくわからないのでこちらとこちらなどを参考にがんばってください(丸投げ === 掲載時点でのWireshark最新バージョンは1.0.6です。これをインストールしています。 以下のコマンド実行時はスーパーユーザで行うか、コマンド先頭にsudoを付けてください。 また、コマンドは記述例として挙げているのみで環境により異なる可能性もありますのでご注意下さい。 普段は全然Macを使わないのでかなり手間取りました・・・。 Macユーザ玄人の方から何かアドバイスあれば頂き
Wireshark(旧Ethereal)でTCP/UDPのチェックサムがエラー - torutkのブログ
自宅PC(nForce 570チップセットのNIC)でWiresharkのキャプチャーをすると、PCから出力するパケット(TCP/UDP)がchecksum errorとなっていました。 NICの機能でchecksum offloadingを有効にすると、TCP/UDP/IPパケットのチェックサム計算をOS側ではなくNICドライバ以下で行うため、CPU負荷が軽減されます。 しかしこのoffloadingが機能していると、Wireshark等のパケットキャプチャで見えるのはNIC内でチェックサム計算前のパケットなためchecksumが不正となってしまいます。 そこで、Wiresharkを使う場合には NICのドライバでchecksum offloadingを無効にする WiresharkのTCP/UDPの設定でchecksumの検証を無効にする といった対応が考えられます。 Wireshar
消えたスイッチと2本のケーブル Wiresharkでトラブルハック(1) 突然、ネットワーク管理者を任命された斉藤君。引き継ぎもそうそうに内線が鳴る。部内のPCがすべてネットワークにつながらない!
Wireshark(Ethereal)で独自パケットフォーマットを解析する方法 - TECHNERD::INIT
Luaプラグインを使うと、独自パケットフォーマットのパーサーを簡単に定義することができます。 Lua - The Wireshark Wiki プラグインの有効化 Wiresharkのインストールディレクトリ → init.luaを編集 disable_lua = true; do return end; をコメントアウト -- disable_lua = true; do return end;run_user_scripts_when_superuser = falseを run_user_scripts_when_superuser = trueに一番最下行に実行したいluaスクリプトを記述したファイルをWiresharkのインストールディレクトリに置き、dofileで指定する。 dofile("hoge.lua")以下の例は、プロトコル名をTRIVIALとし、UDPの7777番にき
ここは、ネットワーク関連企業「BPネットワークス」が誇る本社の超高層タワービル…の地下3階、機械室の隣にある第二R&Dセンターである。またまたオンラインゲームに没頭中の片岡さん…。 片岡:やらせるか!そこだ! 堀部:先輩!もうすぐ昼休み終わりですよ! 片岡:やかましい!いま大事な…見失った!どこだ!被弾した! 矢田:はーい!終わりね!1時ですよ。 片岡:ちっ、もう少しで次のステージへ進めたのに…。 吉田さん登場。 吉田:またゲーム? 片岡:休み時間だけだから文句ないだろ! 吉田:はいはい。 堀部:今回はどんな依頼です? 吉田:T社から、無線LANのフレームをすべてキャプチャーしてモニタリングできないか?っていう依頼が来ているの(図1)。
![[第1回]飛び交う無線LANフレームをすべてキャプチャーせよ!](https://cdn-ak-scissors.b.st-hatena.com/image/square/6c681c50f22374cacde22747e26f4bcaf8236ab0/height=288;version=1;width=512/https%3A%2F%2Fxtech.nikkei.com%2Fit%2Fatcl%2Fcolumn%2F15%2F110900260%2F110900001%2Fzu01.jpg%3F20220512)
Hello! I was using Wireshark to debug a networking problem today, and I realized I’ve never written a blog post about Wireshark! Wireshark is one of my very favourite networking tools, so let’s fix that :) Wireshark is a really powerful and complicated tool, but in practice I only know how to do a very small number of things with it, and those things are really useful! So in this blog post, I’ll e
脆弱性検査ツールまとめ - Qiita
Medusa John the Ripper Hydra Paros BeEF 全般 Nessus OpenVAS Metasploit QualysGuard:NTTデータ先端技術株式会社さんが使ってるみたいですね。 Paraben P2 EnCase Fuzzer Peach Fuzzer Ruby on Rails Brakeman Android PenTest Tools List:リストとはいえ便利です。 WordPress WPScan Webアプリケーション Recon-ng ratproxy skipfish Nikto2 OWASP Zed Attack Proxy sqlmap WebProbe HTTPプロキシ Burp Suite Charles Fiddler x5s Ammonite Watcher intruder21 ソースコード iCodeChecker
Tshark(キャプチャツール)
Tshark(CLIベースのキャプチャツール) コマンドプロンプトで実行できるキャプチャソフトTsharkを紹介します。 TsharkはWiresharkを普通にインストールすると、wireshark.exeがインストールされているフォルダにも出来ているはずです。ということで、インストール手順などは飛ばして、いきなり使い方を説明します。 インストールについて知りたい場合は、Wiresharkを見てください。 tshark.exeが存在するフォルダのパスを設定しておけば、コマンドプロンプトのどのディレクトリからでもtshark.exeを起動できるようになります。 Tshark を使ってみる Tshark使用例1(普通にキャプチャ、キャプチャしたデータをコマンドプロンプトに表示) Tsharkを使って4番のインタフェースのパケットをキャプチャするには、-i 4を指定します。このようにする
パケットキャプチャーで通信のやり取りを直接見てみよう
通信プロトコルを理解するには、実際にどのようなデータをやり取りしているのかを見るのが手っ取り早い方法です。インターネットの通信技術では、「パケット」と呼ばれる単位でデータをやり取りします。しかし、通常利用しているWebブラウザーや電子メールクライアントなどのソフトでは、パケットを見られません。 ネットワークに流れているパケットを見るときに利用するのが、パケットキャプチャーのツールです▼。WindowsやOS Xの環境では「Wireshark」というフリーのツールを利用します。またLinuxなどのUNIX環境では「tcpdump」を利用するのが一般的です。どちらのツールでも、レイヤー2以上のパケットが見られます。 キャプチャーツールは(1)ネットワークやアプリケーションで障害や問題が発生した際のデータの確認、(2)プロトコルの正当性確認、(3)通信相手を特定した通信内容の確認、などが主な用途
WinDump - Home
WinDump is the Windows version of tcpdump, the command line network analyzer for UNIX. WinDump is fully compatible with tcpdump and can be used to watch, diagnose and save to disk network traffic according to various complex rules. It can run under Windows 95, 98, ME, NT, 2000, XP, 2003 and Vista. WinDump captures using the WinPcap library and drivers, which are freely downloadable from the WinPca
Wiresharkを使った通信監視(後編)――コマンドラインベースでのパケットキャプチャ | さくらのナレッジ
フィルタ関係では「-f」オプションと「-Y」オプションの2つが用意されているが、前者はWiresharkのキャプチャフィルタに、後者は表示フィルタに相当するものだ。表示フィルタで表示対象外に設定したパケットについても、キャプチャフィルタでフィルタリングされていなければファイルには保存される。また、tsharkの実行には通常はroot権限が必要だ。 tsharkでキャプチャを行うには、まず-Dオプション付きでtsharkを実行し、利用できるネットワークインターフェイスを確認する。 # tshark -D 1. eth0 2. docker0 3. veth9803aed 4. eth1 5. veth6f5ff7a 6. vethd6ff2e7 7. vethebacd45 8. vethc81a304 9. veth1977258 10. any 11. lo (Loopback) 12.
MAC OS X 10.6 Snow LeopardにWiresharkをインストールする方法 - 【qloogTips】trixboxやAsterisk、macについて、スタッフのきまぐれで始めた株式会社クルーグ非公式ブログ
先日リリースされたMAC OS X 10.6 Snow LeopardにWiresharkをインストールしてみたけど、http://www.wireshark.org/で提供されているままをインストールしても、キャプチャする事が出来ませんでした。 悔しいので、再度挑戦!ばっちりOKになったので、手順を残しておきます。 ちなみに、現行のWiresharkだとtelephonyと言う項目があって、かなりAsterisk/trixbox向きです。 まず、wiresharkをhttp://www.wireshark.org/download.htmlからDLします。 Snow LeopardはintelCPUにしかインストール出来ないので、当たり前ですが「OS X 10.5 (Leopard) Intel .dmg」をDLしてください。 デスクトップ等、適当な場所に保存して.dmgをWクリックして
WiresharkでiPhoneの通信をトレースする - WonderPlanet DEVELOPER BLOG
サーバー担当の山内です。 今回はMacとiPhoneを使ったパケットトレースについてです。 Wiresharkを使えば簡単にiPhoneの通信を覗くことができます。 はじめに 今回用意するものは次のとおりです。 Mac OS X 10.8 iTunes(Xcode) iPhone USBケーブル XQuartz Wireshark XQuartzのインストール OS X Moutain Lion用のX11ライブラリ、XQuartz-2.7.5をインストールします。 XQuartz https://xquartz.macosforge.org/landing/ Wiresharkのインストール Wireshark-1.10.5をインストールします。 Wireshark http://www.wireshark.org/download.html Remote Virtual Interfac
クリスマスソングが流れ、華やかなイルミネーションに彩られる横浜の町。その一角で、ノートPCやディスプレイ、技術専門書を抱えた面々が集い、ひたすら謎解きに取り組むセキュリティイベントが開催された。 12月22日、横浜の情報セキュリティ大学院大学(IISEC)を会場に「第4回SECCON横浜大会(関東地区)」が開催された。SECCONは、セキュリティ技術の底上げと人材の発掘・育成を図ることを目的としたCTF(Capture the Flag)大会だ。 CTF大会にも、互いに擬似的にシステムを攻撃、防御し合うもの、主催者が用意したシナリオの元で運用/対応能力を競うものなどさまざまなパターンがあるが、SECCONが実施しているのはトリビア式のCTF。暗号、バイナリ、ネットワーク、Web、プログラミングなど、さまざまな分野から出題される「問題」を解いて得点を競う形式だ。 これまで同様の大会を九州、つ
Sample Captures How to add a new Capture File Other Sources of Capture Files General / Unsorted ADSL CPE Viruses and worms Crack Traces PROTOS Test Suite Traffic Specific Protocols and Protocol Families AirTunes Apache Cassandra ARP/RARP ATSC3 Protocols ALP Protocol LLS (Low Level Signalling) Protocol MP4 init segments and segments ALC/LCT ROUTE/DASH, MMTP Spanning Tree Protocol Bluetooth CredSSP
Wiresharkのディスプレイフィルタ - 基本的な使用方法から、よく使うフィルタまで - - troushoo
Wireshakrのディスプレイフィルタの使い方を、基本的な使用方法から、よく使うフィルタまで紹介します。 【ディスプレイフィルタの基本的な使用方法】 ディスプレイフィルタは、”Filter”の欄にフィルタの構文を書き込むことで使用します。 例えば、IPアドレスが192.168.122.129のパケットのみを表示したいという場合は、”Filter”の欄に、”ip.addr == 192.168.122.129”と記入します。 【ディスプレイフィルタの構文】 上記の例で記述したように、ディスプレイフィルタを使用するには、ディスプレイフィルタの構文を書き込む必要があります。 このディスプレイフィルタの構文は、”Filter”をクリックすることでわかります。 以下のスクリーンショットは、”Filter”をクリックした直後に出てくるウィンドウです。 ”Display Filter”の行をクリックす
This wiki has been migrated to https://gitlab.com/wireshark/wireshark/-/wikis/home and is now deprecated. Please use that site instead. Wireshark Wiki This is the wiki site for the Wireshark network protocol analyzer. If you are a member of the EditorGroup you can edit this wiki. To become an editor, create an account and send a request to wireshark-dev@wireshark.org which includes your wiki usern
jptomoya on Twitter: "Wiresharkにssh decryptionが実装されていたので試してみる。SSLKEYLOGFILEみたいな仕組みがないので鍵の取り出しが超面倒https://t.co/qLYps4rxa4 https://t.co/zmtOgn1rJj"
Wiresharkにssh decryptionが実装されていたので試してみる。SSLKEYLOGFILEみたいな仕組みがないので鍵の取り出しが超面倒https://t.co/qLYps4rxa4 https://t.co/zmtOgn1rJj
"TCP segment of a reassembled PDU"で検索してくる方が最近 多いようです。 かといって明確な答えは書いていないのでガッカリして帰られる方も 多いのではないか?ということで 答えは正確には知らないんですが・・・ ADSLやVPN等MTUの小さい経路を通過するため、フラグメントされたパケット だと私は考えています。 11/1追記:さむそん様より 「TCP segment of a reassembled PDU」は、 送信(受信)データがMSS(MTU-IPヘッダ、TCPヘッダ)より 大きい場合にTCPレイヤで分割された場合に表記される内容です。 とのコメントをいただきました。 ちなみに回線ごとのMTUは ADSL,Bフレッツ = 1454byte 光プレミアム = 1438byte Ethernet = 1500byte コレにヘッダが含まれるのでデータサイズ
Wireshark を用いたSMB のトラブルシューティングに使える5つのテクニック - troushoo
概要Wireshark を用いたSMB のトラブルシューティングに使える5つのテクニックを紹介します。 内容 SMB とは、Windows のファイル共有等に使われるプロトコルです。 例えば、”\\192.168.159.128\share” といった具合にアクセスする際に使用されるプロトコルです。 SMB を使っている際に、「共有ファイルにアクセスできない」とったトラブルに遭遇することがあります。 そういった時に役に立つ、Wireshark を用いたSMB のトラブルシューティングのテクニックを5つ紹介します。 SMB のみを表示させるフィルター Filter に”SMB or SMB2” と入力することで、SMB のパケットのみ表示させることができます。 [補足: SMB のバージョンについて] SMB は複数のバージョンが存在します。 Windows 8以降のOS間では、SMB 3.
追加ソフトのインストールなくWindows 上でパケットキャプチャーを行い、それをWireshark で解析する方法 - troushoo
概要・まとめ 以下のコマンド・ツールを使えば、追加ソフトのインストールなくWindows 上でパケットキャプチャーを行い、それをWireshark で解析することができます。 ・netsh trace ・Message Analyzer 内容 追加ソフトのインストールなくWindows 上でパケットキャプチャーを行い、それをWireshark で解析する方法を紹介します。 以下の順に説明していきます。 1. Windows 上でパケットキャプチャー : netsh trace を使用 2. パケットキャプチャーの出力をWireshark が読めるフォーマットに変更 : Message Analyzer を使用 3. Wireshark で解析 1. Windows 上でパケットキャプチャー : netsh trace を使用 “netsh trace” コマンドを用いて、Windows 上
はじめに 通報 2013/06/05追記: wireshark_dissector_plugin_with_luaをPDFで書いて置いたのでそちらの方が見やすいやも。 wiresharkで対応していないプロトコルなんて滅多に無いので、利用シーンは限られるんだろうけど。 wireshark : 言わずと知れたパケット解析ソフトウェア。 http://www.wireshark.org/ dissector : 解析部分のこと。デコード、パース等言い方は何でもいいよ。 Lua : スクリプト言語的なの。wiresharkにはLua用APIがあるので連携できるの。 以下レッツ、コーディングなので興味ある人だけどーぞ。 準備 特にコレといって無いですね。 動作環境は Windows XP/Vista/7 と wireshark 1.6/1.8 辺りを想定してます。くらいかな。 Luaスクリプト動作
前回の記事: 技適マークつき BLE パケットスニファを入手する BLE の通信プロトコルは複雑ですが、パケットの内容を適宜精査すれば 座学的な情報の向こう側にある実像を捉えることが可能となるでしょう。 パケットスニファを使って実際に BLE 機器間の応酬を追ってみました。備忘をかねて以下に情報を控えます。題材には低価格で出回っているありふれた Anti-Lost 系 BLE デバイス A を選びました。この小さなデバイスには LED・ブザーと押しボタンスイッチが実装されており、対向スマホアプリとの間で双方向のやりとりが可能なつくりになっています。 操作内容 デバイス A と Android 端末を使って以下の操作を行いスニファで BLE パケットのログを採取しました。 デバイス A の電源を入れる Android 端末上の対向アプリからデバイスを探索しデバイス A との接続を確立 アプリ
古いNTサーバに残された重要なモノ ― @IT
第3回 古いNTサーバに残された重要なモノ 草場 英仁 三井物産セキュアディレクション株式会社 松野 真一 2008/6/4 今回の概要: 今日はのんびり、IT系展示会をブラブラ……といかないのがネットワーク管理者のつらいところ。当日の朝になって、ブースに設置したPCが接続不能に! 早朝のすがすがしい空気が、まだ眠気の残っているアタマをハッキリさせてくれます。駅の改札を抜けると、海を臨んでかすみがかった青空を背景に巨大なコンベンションホールが見えています。 「ここからが遠いんだよね」 心の中で独り言をつぶやきながら、ノートPCの入ったカバンと紙袋を手に、まだ人影も少ない埋め立て地を歩きます。今日の仕事はこのコンベンションホールを全部使って開かれているIT関係の展示会に参加することです。 といっても、直行直帰で参加するカンファレンスは1つだけ。昨日、守屋部長代理からは「面白い製品でも見つけた
Amazon CAPTCHA
第5回 Webサーバーのトラブルを突き止める
今回は、クライアントパソコンからWebブラウザーでWebサーバーにアクセスできないトラブルを紹介する。Webサーバーを社内ネットワークに設置したケースとして取り上げるが、実際にはクラウドサービスやレンタルサーバーを利用したWebサーバーでも起こり得るトラブルである。パケット・キャプチャー・ツールのWiresharkを使って原因を探り、解決の糸口を見つけていこう。 サーバーにアクセスするとForbiddenと表示される 最初のトラブルは、社内ネットワークに接続したWebサーバー(seminar.tripodworks.co.jp)にクライアントパソコンから「http://seminar.tripodworks.co.jp」というURLでアクセスするとエラーが発生するというものだ(図1)。このとき、画面上には「Forbidden」(禁止という意味)と表示される。この原因を探ってみよう。
tshark オプションメモ — (n)
life is penetration. geeks cheer. geeks be ambitious.[Wireshark]に付属するコマンドライン版のパケットキャプチャソフト[tshark]のオプションメモです。 インターフェイス関連 オプション効果 -i <interface> キャプチャするインターフェイスを指定。 -f <capture filter> libpcapフィルタsyntaxによるフィルタを指定。 -s <snaplen> snapshot lengthを指定。(デフォルト:65535) -p プロミスキャスモードを使用しない。 -y <link type> リンクレイヤータイプを指定。(デフォルト:first appropriate) -D インターフェイスリストを表示。 -L インターフェイスの
通信の中身まで解析したいならtshark 通信量を把握するだけなら「以前紹介したdstat」が向いています。 このページでは更に細かく通信の内容を知りたいときに利用するtsharkについて解説します。 tsharkは通信の状態をGUIで解析することのできるWiresharkのCUI版です。Wiresharkのようにグラフ化して解析ということはできませんが、コマンドライン上でパケットの詳細な中身を見ることができます。 Wireshark公式サイト WiresharkにはWindows版やMac版もあるので興味のある方は以下のリンクからダウンロードしてみてください。利用しているアプリが変な通信をしていないかといった監視をすることができます。 http://sourceforge.net/projects/wireshark/files/ 早速Cent OS6にインストールします。 Cent O
大量のデータ処理や分析に使えるOSS Apache Sparkのご紹介(Open Source Conference 2020 Online/Kyoto ... 大量のデータ処理や分析に使えるOSS Apache Sparkのご紹介 基本から最新バージョン3.0まで Open Source Conference 2020 Online/Kyoto 2020年8月28日 講演資料 https://event.ospn.jp/osc2020-online-kyoto/ 株式会社NTTデータ 技術開発本部 猿田 浩輔
Join us 4-8 November in Vienna for SharkFest'24 EUROPE, the official Wireshark Developer and User Conference Wireshark's most powerful feature is its vast array of display filters (over 303000 fields in 3000 protocols as of version 4.2.6). They let you drill down to the exact traffic you want to see and are the basis of many of Wireshark's other features, such as the coloring rules. This is a refe
I run a low bandwidth Open DNS server and observe / report what I see (automatically) [ Twitter: @DnsSmurf ] [ Email: smurfmonitor _at_ gmail _._ com ]
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Tcpreplay - pcap ファイルの書き換えと再送信ユーティリティ
Bluetoothトラフィックをキャプチャしてみる - 思い立ったら書く日記
DNS クライアントを作ってみよう (2)
Mac OSX 10.5でWiresharkを動かす 否定の否定は肯定
Wiresharkでトラブルハック 連載インデックス - @IT
[第1回]飛び交う無線LANフレームをすべてキャプチャーせよ!
How I use Wireshark
https://qiita.com/ykst/items/61ad7e5167a814126d99
パケット解析にクルシミマス? SECCON横浜大会開催
脆弱性に対処した「Wireshark 3.6.8」 ~オープンソースのパケット取得・解析ツール/「Wireshark 3.4」系統の最新版「Wireshark 3.4.16」も公開
SampleCaptures - The Wireshark Wiki
次期安定版で搭載予定の機能を盛り込んだ「Wireshark」開発版v1.9.0が試験公開
FrontPage - The Wireshark Wiki
ネットワークプロトコルアナライザー「Wireshark」に脆弱性。修正済みのv1.10.8が公開
~SleepingCat~ TCP segment of a reassembled PDU
パケット取得・プロトコル解析ソフト「Wireshark」v1.6.0が正式公開
問題児たちがwiresharkのdissectorをLuaで書くそうですよ?
BLE デバイス間の通信内容をパケットレベルで読み解いてみる : DSAS開発者の部屋
tsharkのインストールとフィルタ・自動停止オプションの使い方まとめ
Hokkaido.cap#4 ケーススタディ(ネットワークの遅延と戦う:前編)
脆弱性を修正した「Wireshark」v2.6.4/2.4.10が公開 ~フリーのパケット解析ツール/「Wireshark 2.2」のサポートは終了、最新版への移行を
Wireshark · Display Filter Reference: Index
[Iptables DNS Rules]