実践パケット解析 Wiresharkを使ったトラブルシューティング chris Sanders
https://www.oreilly.co.jp/books/9784873118444/
<この項は書きかけです。順次追記します。>
Wiresharkにできないこと。
-
Wiresharkが起動する前のパケットの取得
通信機器、ロガー -
Wiresharkを終了した後のパケットの記録
-
対応してない通信規約の解読
Wiresharkに機能を付加したり、パケットを保存した後、別ソフトで解析してもいいかも。
<この記事は個人の過去の経験に基づく個人の感想です。現在所属する組織、業務とは関係がありません。>
目次に沿った参考資料
無線網(Wi-Fi)空中線(antenna)(0) 記事一覧(200目標)
の記事の関連する部分を目次に示します。
1章 パケット解析とネットワークの基礎
1.1 パケット解析とパケットキャプチャツール
tcpdump
OmniPeek
1.1.1 パケットキャプチャツールの評価
IPv4
ICMP
TCP
UDP
HTTP
IPv6
SMBv2
SIP
1.1.2 パケットキャプチャツールの仕組み
プロミスキャスモード
1.2 コンピュータはどのように通信するのか
1.2.1 プロトコル
1.2.2 7層のOSI参照モデル
アプリケーション(Application)
プレゼンテーション(Presentation)
セッション(Session)
トランスポート(Transport)
ネットワーク(Network)
データリンク(Data link)
物理(physical)
Please Do Not Sausage Pizza Away.
1.2.3 ネットワークハードウェア
無線網(Wi-Fi)空中線(antenna)(54) 通信機器
1.3 トラフィックの分類
1.3.1 ブロードキャスト
MACアドレス: FF:FF:FF:FF:FF:FF
IPアドレス:サブネットで一番ビットが並んでいるIPアドレス
1.3.2 マルチキャスト
IPアドレス:224.0.0.0 から 239.255.255.255
1.3.3 ユニキャスト
IPアドレス ブロードキャスト、マルチキャスト以外のアドレス
1.4 まとめ
2章 ケーブルに潜入する
2.1 プロミスキャスモードの使用
2.2 ハブで構成されたネットワークでのキャプチャ
2.3 スイッチで構成されたネットワークでのキャプチャ
2.3.1 ポートミラーリング
2.3.2 ハブの使用
2.3.3 タップの使用
2.3.4 ARPキャッシュポイゾニング
2.4 ルータで構成されたネットワークでのキャプチャ
2.5 パケットキャプチャツールを実際に設置する
3章 Wiresharkの概要
3.1 Wiresharkの歴史
3.2 Wiresharkの利点
3.3 Wiresharkのインストール
無線網(Wi-Fi)空中線(antenna)(64) Wireshark 導入、記録、分析
https://qiita.com/kaizen_nagoya/items/d1d452d5f3eadd420d6e
3.3.1 Windowsでのインストール
3.3.2 Linuxでのインストール
無線網(Wi-Fi)空中線(antenna)(66) Raspberry PiでWiresharkを活用する12の関門
$ apt install wireshark
3.3.3 macOSシステムでのインストール
無線網(Wi-Fi)空中線(antenna)(65) MacintoshにWiresharkを導入する7つの壁
https://qiita.com/kaizen_nagoya/items/69eb2d357a125f5368e1
$ brew cask install wireshark
3.4 Wiresharkの基本
3.4.1 初めてのパケットキャプチャ
3.4.2 Wiresharkのメインウィンドウ
3.4.3 Wiresharkの設定画面
3.4.4 パケットの色分け
3.5 ファイルの設定
3.6 プロファイルの設定
4章 Wiresharkでのパケットキャプチャのテクニック
4.1 キャプチャファイルの操作
4.1.1 キャプチャファイルの保存とエクスポート
4.1.2 キャプチャファイルのマージ
4.2 パケットの操作
4.2.1 パケットの検索
4.2.2 パケットのマーキング
4.2.3 パケットの印刷
4.3 時刻の表示形式と基準時刻表示
4.3.1 時刻の表示形式
4.3.2 時間参照
4.3.3 時間調整
4.4 キャプチャオプションの設定
4.4.1 [Input(入力)]タブ
4.4.2 [Output(出力)]タブ
4.4.3 [Options(オプション)]タブ
4.5 フィルタを使う
4.5.1 キャプチャフィルタ
4.5.2 表示フィルタ
4.5.3 フィルタの保存
4.5.4 表示フィルタのツールバーへの追加
5章 Wiresharkの高度な機能
5.1 ネットワークのエンドポイントと対話
5.1.1 エンドポイントの統計を見る
5.1.2 ネットワークの対話を見る
5.1.3 エンドポイントと対話から通信量が多い機器を識別
5.2 プロトコル階層統計
5.3 名前解決
5.3.1 名前解決を有効にする
5.3.2 名前解決の欠点
5.3.3 専用のhostsファイルを使う
5.3.4 名前解決を手動で行う
5.4 プロトコル分析機構
5.4.1 分析機構の変更
5.4.2 分析機構のソースコードを見る
5.5 ストリームの表示
5.5.1 SSLストリームの表示
5.6 パケット長
5.7 グラフ表示
5.7.1 IOグラフを見る
5.7.2 往復遅延時間(ラウンドトリップタイム)グラフ
5.7.3 フローグラフ
5.8 エキスパート情報
6章 コマンドラインでのパケット解析
6.1 TSharkをインストールする
6.2 tcpdumpをインストールする
6.3 パケットをキャプチャし保存する
6.4 出力を操作する
6.5 名前解決
6.6 フィルタを使う
6.7 TSharkの時刻表示形式
6.8 TSharkの統計機能
6.9 TSharkとtcpdumpの違い
7章 ネットワーク層プロトコル
7.1 ARP(Address Resolution Protocol)
無線網(Wi-Fi)空中線(antenna)(67) Wiresharkで覚える17個の小包(Paket)
https://qiita.com/kaizen_nagoya/items/4f8d9471f27b2bf8b8f5
7.1.1 ARPパケットの構造
7.1.2 パケット1:ARPリクエスト
7.1.3 パケット2:ARPレスポンス
7.1.4 gratuitous ARP
7.2 IP(Internet Protocol)
7.2.1 IPv4(インターネット・プロトコル・バージョン4)
7.2.2 IPv6(インターネット・プロトコル・バージョン6)
7.3 ICMP
7.3.1 ICMPパケットの構造
7.3.2 ICMPのタイプとコード
7.3.3 エコー要求とエコー応答
7.3.4 traceroute
7.3.5 ICMPv6
8章 トランスポート層プロトコル
8.1 TCP
8.1.1 TCPパケットの構造
8.1.2 TCPポート
8.1.3 TCPの3ウェイハンドシェイク
8.1.4 TCPのティアダウン(切断)
8.1.5 TCPリセット
8.2 UDP
8.2.1 UDPパケットの構造
9章 知っておきたい上位層プロトコル
9.1 DHCP
9.1.1 DHCPパケットの構造
9.1.2 DHCP更新処理
9.1.3 DHCPのリース更新
9.1.4 DHCPオプションとメッセージタイプ
9.1.5 DHCPv6
9.2 DNS
9.2.1 DNSパケットの構造
9.2.2 単純なDNSクエリ
9.2.3 DNSの問い合わせタイプ
9.2.4 DNSの再帰
9.2.5 DNSゾーン転送
9.3 HTTP
9.3.1 HTTPでブラウズする
9.3.2 HTTPでデータをアップロードする
9.4 SMTP
9.4.1 メールの送受信
9.4.2 メールの追跡
9.4.3 SMTPで添付ファイルを送る
9.5 まとめ
10章 現場に即したシナリオの第一歩
10.1 Webコンテンツが表示されない
10.1.1 ケーブルへの潜入
10.1.2 パケット解析
10.1.3 学んだこと
10.2 応答しない天気予報サービス
10.2.1 ケーブルへの潜入
10.2.2 パケット解析
10.2.3 学んだこと
10.3 インターネットに接続できない
10.3.1 ゲートウェイ設定問題
10.3.2 不適切なリダイレクト
10.3.3 外部の問題
10.4 不安定なプリンタ
10.4.1 ケーブルへの潜入
10.4.2 パケット解析
10.4.3 学んだこと
10.5 孤立する支社
10.5.1 ケーブルへの潜入
10.5.2 パケット解析
10.5.3 学んだこと
10.6 ソフトウェアデータの破損
10.6.1 ケーブルへの潜入
10.6.2 パケット解析
10.6.3 学んだこと
10.7 まとめ
11章 ネットワークの遅延と戦う
11.1 TCPのエラーリカバリ機能
11.1.1 TCP再送
11.1.2 重複ACKと高速再送
11.2 TCPのフロー制御
11.2.1 ウィンドウサイズの調整
11.2.2 ゼロウィンドウ通知によるデータフローの一時停止
11.2.3 TCPスライディングウィンドウの実例
11.3 TCPエラー制御とフロー制御パケット
11.4 高遅延の原因を突き止める
11.4.1 正常な通信
11.4.2 通信の遅延:回線遅延
11.4.3 通信の遅延:クライアントの遅延
11.4.4 通信の遅延:サーバの遅延
11.4.5 遅延を見つけるフレームワーク
11.5 ネットワークベースラインの確立
11.5.1 サイトのベースライン
11.5.2 ホストベースライン
11.5.3 アプリケーションベースライン
11.5.4 ベースラインについての追記
11.6 まとめ
12章 セキュリティ問題とパケット解析
12.1 偵察
12.1.1 SYNスキャン
12.1.2 OSフィンガープリント
12.2 トラフィック操作
12.2.1 ARPキャッシュポイゾニング
12.2.2 セッションハイジャック
12.3 マルウェア
12.3.1 Operation Aurora
12.3.2 リモートアクセス型のトロイの木馬
12.4 エクスプロイトキットとランサムウェア
12.5 まとめ
13章 無線LANのパケット解析
13.1 物理面での考察
13.1.1 一度に1つのチャンネルをキャプチャする
13.1.2 無線LANの電波干渉
13.1.3 電波干渉を検出、解析する
13.2 無線LANカードのモード
13.3 Windows上での無線LANのパケットキャプチャ
13.3.1 AirPcapの設定
13.3.2 AirPcapを使ったパケットキャプチャ
13.4 Linux上での無線LANのパケットキャプチャ
13.5 802.11パケットの構造
無線網(Wi-Fi)空中線(antenna)(85)wireshark 802.11 測定
https://qiita.com/kaizen_nagoya/items/416b6e47a575831be6e7
13.6 [Packet List(パケット一覧)]ペインに無線LANの情報を追加する
13.7 無線LAN特有のフィルタ
13.7.1 特定のBSSIDでフィルタリング
13.7.2 パケット別のフィルタリング
13.7.3 周波数によるフィルタ
13.8 無線LANプロファイルの保存
13.9 無線LANのセキュリティ
13.9.1 WEP認証の成功
13.9.2 WEP認証の失敗
13.9.3 WPA認証の成功
13.9.4 WPA認証の失敗
13.10 まとめ
付録A 推薦文献
A.1 パケット解析ツール
A.1.1 CloudShark
A.1.2 WireEdit
A.1.3 Cain & Abel
A.1.4 Scapy
A.1.5 TraceWrangler
A.1.6 Tcpreplay
A.1.7 NetworkMiner
A.1.8 CapTipper
A.1.9 ngrep
A.1.10 libpcap
A.1.11 Npcap
A.1.12 hping
A.1.13 Python
A.2 パケット解析に役立つ情報源
A.2.1 Wiresharkホームページ
A.2.2 Practical Packet Analysisオンラインコース
A.2.3 SANS Security Intrusion Detection In-Depth Course
A.2.4 Chris Sandersのブログ
A.2.5 Brad DuncanのMalware Traffic Analysis
A.2.6 IANAのWebサイト
A.2.7 W. Richard Stevenの『TCP/IP Illustrated』シリーズ
A.2.8 『The TCP/IP Guide』(No Starch Press)
付録B パケットを知る
B.1 パケット表示
B.2 パケット構造図の利用
B.3 謎のパケットを調べる
B.4 まとめ
付録C Win10Pcap−WinPcap強化版ドライバの紹介
C.1 Win10Pcapとは何か
C.1.1 Win10Pcapの概要
C.1.2 Win10Pcapの入手
C.1.3 WinPcapの問題点
C.2 Win10Pcapのインストールから利用まで
C.3 WinPcapとの共存
付録D USBPcapを用いたUSBインターフェース通信のキャプチャ
D.1 USBPcap概要
D.2 USBデバイスの通信データキャプチャを行うための従来手法と課題
D.3 USBPcapのインストール方法
D.4 解析方法1:WiresharkからUSBPcapを呼び出す
D.5 解析方法2:USBPcapCMD.exeでキャプチャする
D.6 まとめ
参考資料(reference) Wireshark
Wiresharkのインストール手順(Windows編)
WireSharkで学ぶネットワークの基礎
WireSharkの仕組み
wiresharkで保存したデータをpysharkで扱う
m1macにWiresharkをインストール
Nutanix から通信フロー情報を取得してみる
wireshark への貢献方法
プロトコルを自作し、RustでTCPサーバーを作成してWiresharkで解析する
WireSharkでパケットキャプチャ
Wireshark Development Release(3.3.1) をUbuntuでbuildしてInstall
wireshark-3.4.0でパケットダイアグラムを表示する
WireShark LUA PluginでMavLink通信プロトコルを解析
WiresharkでSOAPメッセージをトレースする、コネクションエラー、通信しているXMLの内容を確認する。検証用SOAPクライアントならPython-Zeep熱烈推奨
WiresharkではじめるTCP超基礎入門
WireSharkでEchonet-liteの通信を解析する方法
<この記事は個人の過去の経験に基づく個人の感想です。現在所属する組織、業務とは関係がありません。>
文書履歴(document history)
ver. 0.01 初稿 201903126
ver. 0.02 ありがとう追記 20230513
最後までおよみいただきありがとうございました。
いいね 💚、フォローをお願いします。
Thank you very much for reading to the last sentence.
Please press the like icon 💚 and follow me for your happy life.