パケット解析入門-勉強会資料

Dbe2b5015fd7fa1e4e7772abcff534e0?s=47 Azunyan
December 11, 2018

 パケット解析入門-勉強会資料

パケット解析勉強会で使用した資料です。

https://goo.gl/2FsqTJ/

https://student-kyushu.connpass.com/event/103277/

Dbe2b5015fd7fa1e4e7772abcff534e0?s=128

Azunyan

December 11, 2018
Tweet

Transcript

  1. 2.

    講義情報 • まだインストールしてない奴なんていないよなぁ? • Wireshark • https://goo.gl/yRwKp1 • Burp Suite

    • https://goo.gl/mz1Tzo • 本⽇の講義資料(講義で使うパケットファイルもあります) • https://goo.gl/2FsqTJ • Wi-if情報 • SSID: • Pass:
  2. 4.

    もくじ(時間が許す限り最後までやる) • 本⽇のみんなの⽬標発表 • 軽く⾃⼰紹介(みんなもやる?) • 注意事項 • パケット解析に必要な最低限の知識 •

    パケット解析ツールの紹介 • Wiresharkを使ってパケットを⾒てみよう! • Burp Suiteを使ってHTTPリクエストを編集してみよう! • Burp Suiteを使ってHTTPSリクエストの中⾝を覗いてみよう! • スマホのパケットを覗いてみよう! • その他のツール紹介 • 質問orこれやってくれ
  3. 7.

    ⾃⼰紹介 • 名前:Azunyan1111 • ツイッター:@Azunyan1111_ ←アンダーバー1つに注意 • 職種:サーバーサイドエンジニア • ⼤学:福岡⼯業⼤学・学部4年

    • ⾔語:Golang • 趣味:Webセキュリティ • 研究:Tor(匿名化ブラウザの奴) • セキュリティキャンプ2018全国⼤会 参加 • セキュリティキャンプ2016福岡 参加 • セキュリティキャンプ2018⼭梨 参加 • Micro hardening Fukuoka 2018 参加 • Micro hardening Ube 2018 参加
  4. 8.

    みんなも⾃⼰紹介するときのテンプレ • 名前 • ⼤学or仕事or趣味で何してる? • Web系とかOS系とかIoT系とか • 勉強会への意気込み •

    以下あったら • 好きなエディタ • 好きな⾔語 • パケット解析ができるようになったら◯ ◯がしたい! • etc…
  5. 9.

    注意事項 • 講義資料は外部配布禁⽌(気分次第) • お⾦払ってきてる社会⼈もいるのでダメです • スクショを上げる程度ならOK • 講義で勉強したことを悪⽤しないように •

    やろうと思えば⾊んな攻撃ができます。 • 犯罪幇助(ほうじょ)とかしたくないのでダメ絶対! わからない単語が出てきたらすぐに調べるのを推奨 ※わからなくなったら⼿を上げてチューターに助けてもらってください! 質問は随時受け付けてます。⼿を上げて質問だと⾔ってください(⻑くな りそうだったらあとにします。) 間違ってる知識があるかもしれないので違うっぽかったら指摘してくださ い
  6. 13.
  7. 14.

    TCP/IP • ⼀般的に広く使われているプロトコル群 • TCPとIPv4を使って通信をする⽅法 • IP • パソコン1台に割り当てられるIPアドレスを元にルーターがリレーをし て相⼿に到達する

    • TCP • 3way ハンドシェイクでコネクションを確⽴して通信を⾏う • パケットは必ずしも相⼿に到達するとは限らない。 • なので再送信とかする必要がある。そういうのをやってくれる奴
  8. 15.

    TCP/IP • IPにはローカルIPとグローバルIPが現代では普及している • DHCPとかでググると出る • ルーカルIPとはルーターのLAN内での擬似的なIPアドレス的な感じ • 192.168.~.~が⼤体ローカルIPアドレス。 •

    グローバルIPアドレスはLANの代表となるIPアドレスみたいな感じ 192.168.1.2 150.43.0.0 133.5.0.0 192.168.1.2 その他のルーター (インターネット)
  9. 17.

    OSI参照モデル • 正直ざっくりと分かってれば良い • リンク層 • Mac:Macアドレスを元に通信をする(LANの中での通信な雰囲気) • ネットワーク層(インターネット層) •

    IP:IPアドレスを元に通信する(インターネットな雰囲気) • トランスポート層 • TCP:コネクションを確⽴して通信をする(通信形式みたいな) • リンク層の上にネットワーク層が乗ってその上にトランスポー トが乗っての繰り返し。
  10. 19.

    パケット解析に必要なツール • 現状私がこれだけのツールで事⾜りているので他ツールもある。 • Wireshark 無料 • パケット解析の定番。これさえあれば⼤体なんでもできる • BurpSuite

    無料・有料 • パケットを編集するのに優れたツール • Charles 試⽤・有料 • http/httpsのパケット解析に特化したツール • Pkttools 無料 • セキュリティキャンプでおなじみ坂井弘亮⽒が作った純国産 • 簡易分析の位置付けだがパケットを直接編集や送信などできる超神ツール • Chrome 開発者ツール Networkタブ 無料 • ブラヴザに⼊るhttp/httpsリクエストを分析できる。 • Curlを⽂を⾃動⽣成するのでワンクリックでリクエストを再現可能。
  11. 23.
  12. 24.
  13. 25.
  14. 26.
  15. 32.

    TCP/IPパケット解説 • リンク層 • ▪⾚:送信先macアドレス( 58:52:8a:1b:08:fd ) • ▪⻩:送信元macアドレス( 98:01:a7:d0:b7:5b

    ) • ▪⻘:イーサタイプ(IPv4なのかIPv6なのか)https://goo.gl/HqZa2h • 0x0800だとIPv4 • 0x86DDだとIPv6 • 0x0806だとARP(MACアドレスを教えあうプロトコル)
  16. 34.

    TCP/IPパケット解説 • ネットワーク層 • ▪⾚:送信元IPアドレス( 192.168.1.7 ) • ▪⻩:送信先IPアドレス( 219.94.163.38

    ) • ※リンク層とは別で送信元と送信先が逆な所注意 • 192.168.1.7の部分はルーターがグローバルIPに置き換えてネッ トに出て⾏く。
  17. 56.

    よく使うパケットフィルタリスト • よく使うパケットフィルタ • http • ip.addr == 192.168.1.7 •

    というかここを⾒れば良い • フィルタの右側の書式を押す • 検索にそれっぽい単語を⼊れる
  18. 85.

    HTTPSとは • HTTPS (Hypertext Transfer Protocol Secure) は、HTTPによ る通信を安全に(セキュアに)⾏うためのプロトコルおよび URIスキームである。厳密に⾔えば、HTTPS⾃体はプロトコル

    ではなく、SSL/TLSプロトコルによって提供されるセキュアな 接続の上でHTTP通信を⾏うことをHTTPSと呼んでいる。 • Wikipediaより • つまりWiresharkで⾒ることができない。
  19. 90.
  20. 96.

    スマホのパケットを覗いてみよう! • ピンと来る⼈はわかったと思う • LAN (wi-fi)内にBurp Suiteのプロキシを⽴てる。 • ↓ •

    スマホに設定でプロキシを通るように設定する(証明書も忘れずに) スマホにプロキシ設定 192.168.1.7:8080 LAN内のPCヘ 192.168.1.7 Burp Suiteへ :8080
  21. 98.

    その他のツール紹介 • Charles 試⽤・有料 • http/httpsのパケット解析に特化したツール • ドメインごとにリクエストを⾒られるので⽬的のパケットを⾒つけやすい • Curlを⽂を⾃動⽣成するのでワンクリックでリクエストを再現可能。

    • Pkttools 無料 • セキュリティキャンプでおなじみ坂井弘亮⽒が作った純国産 • 簡易分析の位置付けだがパケットを直接編集や送信などできる超神ツール • CLIでパイプを使ってフィルタする • Chrome 開発者ツール Networkタブ 無料 • ブラヴザに⼊るhttp/httpsリクエストを分析できる。 • Curlを⽂を⾃動⽣成するのでワンクリックでリクエストを再現可能。
  22. 99.
  23. 100.
  24. 101.