LoginSignup
1
2

More than 1 year has passed since last update.

@sasakura-jp

Wiresharkの使い方メモ【マルウェア解析】

Last updated at Posted at 2021-09-26

環境

os:windows10

カラム(表示列)の設定

デフォルトカラム

  • No
  • Time
  • Source
  • Destination
  • Protocol
  • Length

追加するカラム

  • Source port(unresolved)
  • Destination port(unresolved)

カスタムカラム

  • HTTP host
  • HTTPS server

追加方法

  1. カラム名で右クリック=>「列の設定(Column Preferences)」 image.png
  2. 設定ウィンド左下の「+」ボタンから列を追加 image.png

追加方法HTTP host(カスタムカラム)

  1. フィルタhttp.requestで絞る
  2. 詳細ウィンドウのHyper Transfer Protocol内のHostを右クリック=>「列として適用」 image.png

フィルタ

ルール

  • 複数のフィルタを利用
    • ==or,and
    • !=は使えない.!(ip.addr == 192.**.**.**)とする.
  • 入力後のfilterツールバーの色
    • 緑:正しい
    • 黄:意図しない可能性がある
    • 赤:利用できない

メモ

  • よく使うフィルタはフィルタツールバーの右側のフィルタボタンとして追加しておくと便利
    • image.png
    • 参考[2]でのフィルターボタン
    • image.png

よく使う?フィルタ(Filter)

  • http.request:HTTP GETメソッドのパケットのURL
  • tls.handshake.type == 1:HTTPSまたはSSL/TLSトラフィックのドメイン名
  • !(ssdp)
    • 1900/udp経由のHTTPトラフィックはSSDP(Simple Service Discovery Protocol)が生成しているもので、SSDPはプラグ アンド プレイ デバイス検出に使用されているプロトコルです。この1900/udpの通信はいわゆる一般的なwebトラフィックとは関連しないものなので、表示されてほしくありません。(参考[2]より)
  • tcp.flags == 0x0002:TCP SYNセグメント
    • 感染したホストが、オフラインのサーバーやTCP接続を拒否するサーバーに接続を試みていた可能性もあるのです。こうした接続試行の様子は、フィルタに「tcp.flags eq 0x0002」を追加してTCP SYNセグメントを含めれば表示することができます。(参考[2]より)
  • ftp
    • Pポート21経由のFTP制御チャネルを確認するときにftpをフィルタとして使用、感染ホストから取得したファイル名を見つける.(参考[2])
  • smtp
    • 暗号化されていなSMTPトラフィックを探す.
      • smtp contains "From:"
      • smtp contains "Message-ID:"
      • smtp contains "Subject:"
  • Macアドレス,IPアドレス,host nameの確認[3]
    • dhcp
    • nbns

パケットリストの見方・使い方

  • パケットリストで黒色のパケットは接続試行したがサーバーからの応答がない.

    • image.png

  • requestとresponsの関係はクリックしたときにあらわれる左側の矢印でわかる

    • image.png
    • 必ずしもrequestした順にresponsが返ってくるわけではない.

  • パケットにマークできる.(色を付けられる)

    • image.png
    • image.png

  • パケットにコメントできる

    • image.png
    • image.png
    • 詳細ウィンドウにコメントが追加される image.png

その他メモ

  • HTTPリクエストのヘッダを確認することでOSとブラウザを確認できる.[3]

参考

パロアルトネットワークス

  1. https://www.paloaltonetworks.jp/company/in-the-news/2019/unit42-customizing-wireshark-changing-column-display
  2. https://www.paloaltonetworks.jp/company/in-the-news/2019/using-wireshark-display-filter-expressions
  3. https://www.paloaltonetworks.jp/company/in-the-news/2019/using-wireshark-identifying-hosts-and-users
  4. https://www.paloaltonetworks.jp/company/in-the-news/2019/using-wireshark-exporting-objects-from-a-pcap

これから見ようと思っている記事

1
2
1

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
1
2