2008年08月21日(木) 18時33分

現役ペンテスト技術者が選ぶ 使えるセキュリティツール(25)「ただのパケットモニタリングツールではない−Wireshark(3)」（Scan）

　このコーナーでは、現役のペネトレーションテスト技術者が、使えるセキュリティツールを、ペンテストの現場の視点から紹介します。

　名称：Wireshark
　配布制限：フリーウェア
　商用版の有無：無
　類似ツール：Packetyzer
　対応OS：Windows系OS、Unix系OS、OSX
　分野ネットワークプロトコル分析

(1)基本項目と概要

　前回、前々回で、「Wireshark」での、パケットキャプチャ、そして、パケット保存について紹介させていただいた。

　しかし、これだけでは、パケット分析とは呼べず、GUIの利点をあまり活かしきれているとは言いがたい。

　そこで、今回は、分析を行う上で便利な機能をいくつか紹介させていただく。

(2)コマンドサンプル

●マーキング

　分析を行う際には、数多くのパケットをチェックすることになる。したがって、分析に役立つと思われるようなパケットも当然一つではないことも多々あるだろう。分析中に、重要なパケットを見失っては非常に非効率である。

　それを補うために、「Wireshark」では、二つのマーキング機能がある。

一つ目は、キャプチャ結果にマーキングを行う「Mark Packets(toggle)」（以下、PM)もう一つは、時間にマーキングを行う「Set Time Reference（toggle）」（以下、TM）

である。

　PMを行うには、まず、マーキングしたいパケットを選択し、メニューバーの[Edit]→[Mark Packets(toggle)]をクリックする。（[Ctrl + M]でも可能）

　すると、選択した行の色が、黒に変化する（図1）。

　これで、視覚的に分かりやすいというだけでなく、[Edit]→[Find Next Mark]や[Find Previous Mark]とすることで、目的のパケットを発見しやすくなるという利点がある。

　また、表示しているすべてのパケットにマーキングを行うこともできるため、一旦、フィルタを行ってから、すべてのマーキングを行っておけば、フィルタを解除しても、フィルタ条件にマッチしていたパケットを見つけやすくなるという使い方も可能である。

　次に、TMだが、こちらもマーキング方法はPMと要領は同じである。マーキングを行いたい行を選択し、[Edit]→[Set Time Reference（toggle）]([Ctrl + T] でも可能)とするだけである。

　マーキングを行うという意味では、PMと同じなのだが、こちらは時間表示の面で少し異なる点がある。TMを行った場合、PMのように黒くなるなどの色の変化はないが、時間が表示される部分に[*REF*]と表示されるようになる（図2）。

　デフォルトで、時間の部分はパケットキャプチャ開始時からの時間が表示されているが、TMを設定することで、起点となるパケットからの時間のカウントを表示させることが可能となる。PMと同じく複数設定可能であり、マーキングされている場所を発見することも容易となる。


●プロトコルの割合表示

　分析する上でキャプチャされたパケットの種類（プロトコル）別に全体を把握し、その割合を知りたい場合がある。その際には、この機能が非常に重宝される機能である。

　これを表示するには、[Staticetic]→[Protocl Hierarchy]と選択する（図3）。

　割合を表示する際には、現在、表示されているパケットが対象となるので、フィルタを行っている際にはフィルタ結果からの割合表示となる。

　筆者がこの機能を重宝した場面としては、とあるネットワークの分析を依頼されたときである…

【執筆：NTTデータ・セキュリティ株式会社 辻 伸弘】


【関連リンク】
・ Wireshark
・ 現役ペンテスト技術者が選ぶ 使えるセキュリティツール(21)「パケットには真実がある−パケットモニタリング系ツール」
・ 現役ペンテスト技術者が選ぶ 使えるセキュリティツール(22)「パケットモニタリングツールの王道−tcpdump」
・ 現役ペンテスト技術者が選ぶ 使えるセキュリティツール(23)「ただのパケットモニタリングツールではない−Wireshark(1)」
・ 現役ペンテスト技術者が選ぶ 使えるセキュリティツール(24)「ただのパケットモニタリングツールではない−Wireshark(2)」

http://headlines.yahoo.co.jp/hl?a=20080821-00000006-vgb-secu