パケットキャプチャ:それは何であり、何を知っておく必要があります
パケットキャプチャは、ネットワークを安全かつ効率的に動作させるために使用される重要なツールです。 間違った手の中で、それはまた、ユーザー名やパスワードなどの機密データを盗むために使用することができます。 この記事では、パケットキャプチャとは何か、どのように動作するのか、どのようなツールが使用されているのか、いくつかのサンプル使用例を見て
- パケットキャプチャとは
- パケットキャプチャはどのように機能しますか?
- パケットキャプチャの読み方
- フォーマット、ライブラリ、フィルタ、ああ、私の!
- パケットキャプチャツール
- パケットキャプチャとパケットスニファのユースケース
- パケットキャプチャの長所と短所
パケットキャプチャとは
パケットキャプチャとは、レビューまたは分析のためにインターネットプロトコル(IP)パケットをキャプチャする操作のことです。 この用語はまた、パケットキャプチャツールが出力するファイルを記述するために使用することができます,多くの場合、に保存されています.pcap形式。 パケットのキャプチャは、ネットワーク管理者にとって一般的なトラブルシューティング手法であり、ネットワークトラフィッ データ侵害やその他の事件の後、パケットキャプチャは調査を支援する重要な法医学的手がかりを提供します。 脅威アクターの観点から見ると、パケットキャプチャはパスワードやその他の機密データを盗むために使用される可能性があります。 ポートスキャンのようなアクティブな偵察技術とは異なり、パケットのキャプチャは、研究者のための背後に痕跡を残さずに達成することができます。
パケットキャプチャはどのように機能しますか?
パケットをキャッチする方法は複数あります! パケットキャプチャは、ルーターやスイッチなどのネットワーク機器、タップと呼ばれる専用のハードウェア、アナリストのラップトップやデスクトップ、さらにはモバイルデバイスから行うことができます。 使用されるアプローチは、最終目標に依存します。 どのような方法を使用しても、パケットキャプチャは、ネットワーク内の特定のポイントを通過する一部またはすべてのパケットのコピーを作成することによって機能します。
自分のマシンからパケットをキャプチャするのが最も簡単な方法ですが、いくつかの注意点があります。 既定では、ネットワークインターフェイスは、それらの宛先のトラフィックにのみ注意を払います。 ネットワークトラフィックをより完全に表示するには、インターフェイスを無差別モードまたは監視モードにします。 たとえば、有線ネットワークでは、マシンが接続されているローカルスイッチポート上のトラフィックのみが表示されます。
ルーターまたはスイッチでは、ポートミラーリング、ポート監視、およびスイッチドポートアナライザ(SPAN)としてさまざまに知られている機能により、ネットワーク管理者はネットワー 多くのエンタープライズグレードのスイッチおよびルータには、デバイスのCLIまたはwebインターフェイスからすぐにトラブルシューティングするために使 ファイアウォールや無線アクセスポイントのような他のタイプのネットワーク機器にも、一般的にパケットキャプチャ機能があります。
特に大規模またはビジー状態のネットワークでパケットキャプチャを実行する場合は、専用のネットワークタップが最適なオプションです。 タップは、パケットをキャプチャするための最も高価な方法ですが、専用のハードウェアであるため、パフォーマ
パケットキャプチャの読み方
パケットキャプチャを理解して分析するには、基本的なネットワークの概念、特にOSIモデルに関する基本的な知識が必 特定のツールには違いがあるかもしれませんが、パケットキャプチャは常にペイロードといくつかのヘッダーで構成されます。 ペイロードは、転送される実際のデータで構成されています–これは、ストリーミングムービー、電子メール、ランサムウェア、またはネットワークを横断する何かのビッ パケットヘッダーには、ネットワーク機器が各パケットをどうするかを決定するのに役立つすべての重要な情報が含まれています。 最も重要なのは送信元アドレスと宛先アドレスですが、IPパケットには、サービスクラスからプロトコルタイプまで、合計14個のヘッダーがあります。 プロのネットワークアナリストは、これらの分野のすべての詳細な知識を持っていますが、パケット構造の一般的な理解は、パフォーマンスの問題のトラブルシューティングやネットワークの動作についての詳細を学ぶために必要なすべてです。
| バージョン | ヘッダーの長さ | DSCP値 | ECN | 合計パケットの長さ |
| 識別 | フラグ | フラグメントオフセット | ||
| タイム-トゥ-ライブ(TTL) | プロトコル | ヘッダーチェックサム | ||
|
送信元IPアドレス |
||||
|
宛先IPアドレス |
||||
|
オプション |
||||
送信元アドレスと宛先アドレスとは別に、トラブルシューティングの最も重要なフィー パースペクティブには、Differentiated Services Code Point(DSCP)、フラグ、およびTTLが含まれます。 DSCPはQuality of Service(QoS)を確保するために使用され、Voice over IP(VoIP)のようなリアルタイムトラフィックの重要なフィールドです。 フラグは、パケットの断片化を制御するために最も頻繁に使用され、Don’t Fragmentフラグを持つパケットがネットワークリンクの最大伝送単位(MTU)サイズを超え TTL値は各ホップの後に減少し、ネットワークを通るパケットのパスに関する重要な手がかりを提供することができます。
暗号化されていないタイプのトラフィックの場合、パケットスニファはヘッダーだけでなく、実際のペイロードを調べることができます。 これは、ネットワークの問題のトラブルシューティングに非常に便利ですが、ユーザー名やパスワードなどの機密データが存在する場合にも、潜在的なセキ パケットのペイロードの背後にある意味を理解するには、使用中のプロトコルの知識が必要な場合があります。
パケットキャプチャおよびネットワーク解析アプリケーションには、大量のデータをフィルタリング、可視化、および検査するツールが頻繁に含まれています。 これらのツールは、パケットキャプチャの手動検査では不可能な分析を可能にします。 キャプチャファイルは、侵入検知システム/保護システム(IDS/IPS)、セキュリティ情報およびイベント管理システム(SIEM)、またはその他のタイプのセキュリテ
フォーマット、ライブラリ、およびフィルタ、ああ私の!
パケットキャプチャに関しては、すぐに混乱する可能性のある関連用語の範囲があります。 あなたが聞くかもしれない最も一般的で重要な用語のいくつかを分解してみましょう:
パケットキャプチャフォーマット
Wiresharkのようなパケットキャプチャツールを使用してトラフィックをリアルタイムで検査できますが、後で分析す これらのファイルは、さまざまな形式で保存できます。 .pcapファイルは、最も一般的であり、ネットワークアナライザやその他のツールの広い範囲と一般的に互換性があります。 .pcapngは単純な上に構築されています。新しいフィールドと機能を備えたpcap形式で、Wiresharkでファイルを保存するときのデフォルト形式になりました。 一部の商用ツールでは、独自の形式を使用することもあります。
ライブラリ
libpcap、winpcap、npcapのようなライブラリは、パケットキャプチャショーの本当の星であり、オペレーティングシステムのネットワークスタックにフックし、インターフェイス間を移動するパケットをピアにする機能を提供します。 これらのライブラリの多くはオープンソースプロジェクトであるため、商用および無料のパケットキャプチャツールのさまざまな場所にあります。 場合によっては、ツールとは別にライブラリをインストールする必要があります。
フィルタリング
フルパケットキャプチャは、かなりのスペースを取り、キャプチャデバイスからより多くのリソースを要求する可能性があります。 それはまた、ほとんどの場合、やり過ぎです–最も興味深い情報は、通常、観察されている総トラフィックのほんの一部です。 パケットキャプチャは、多くの場合、関連する情報を除外するためにフィルタリングアウトされます。 これは、ペイロードからIPアドレス、要因の組み合わせに至るまで、すべてに基づいています。
パケットキャプチャツール
ネットワークを通過するパケットをキャプチャおよび分析するために、多数の異なるツールを使用できます。 これらはパケットスニファと呼ばれることもあります。 最も人気のあるものは次のとおりです。
Wireshark
典型的なパケットツールであるWiresharkは、多くのネットワーク管理者、セキュリティアナリスト、およびアマチュアオタクのためのパケットキャプチャツールです。 簡単なGUIとソート、分析、およびトラフィックの意味を作るための機能のトンで、Wiresharkのは、使いやすさと強力な機能を兼ね備えています。 Wiresharkパッケージには、tsharkと呼ばれるコマンドラインユーティリティも含まれています。
tcpdump
軽量で汎用性が高く、多くのUNIXライクなオペレーティングシステムにプリインストールされているtcpdumpは、パケットキャプチャに関してはCLI中毒の夢です。 このオープンソースツールは、Wiresharkのようなツールで後で分析するためにパケットをすばやくキャプチャできますが、膨大な量のネットワークデータを理解するための独自のコマンドとスイッチがたくさんあります。
SolarWinds Network Performance Monitor
この商用ツールは、使いやすさ、視覚化、およびアプリケーション別にトラフィックを分類する機能のために長い間愛用されてきました。 このツールはWindowsプラットフォームにのみインストールされますが、任意のタイプのデバイスからのトラフィッ
ColaSoft Capsa
ColaSoftは、企業の顧客を対象とした商用パケットスニファーを作るだけでなく、学生やネットワーキングに入る人を対象としたパレダウン版を提供しています。 ツールは、リアルタイムのトラブルシューティングと分析を支援するために、監視機能の様々なを誇っています。
Kismet
Kismetは、ワイヤレストラフィックのキャプチャとワイヤレスネットワークとデバイスの検出に特化したユーティリテ Linux、Mac、およびWindowsプラットフォームで利用可能なこのツールは、BluetoothおよびZigbee無線を含む幅広いキャプチャソースをサポートしています。 適切な設定で、ネットワーク上のすべてのデバイスからパケットをキャプチャできます。
パケットキャプチャとパケットスニファの使用例
パケットスニファという用語は、ハッカーが機密通信をひそかに活用しているイメージを想起させるかもしれませんが、パケットスニファの正当な用途はたくさんあります。
Asset Discovery/Passive Reconnaissance
パケットの性質上、送信元アドレスと宛先アドレスが含まれているため、パケットキャプチャを使用して特定のネットワーク上のアクティ 十分なデータがあれば、エンドポイントに指紋を付けることも可能です。 正当なビジネス目的のために行われた場合、これは検出またはインベントリと呼ばれます。 しかし、パケットキャプチャの受動的な性質は、悪意のある攻撃者が攻撃のさらなる段階の情報を収集するための優れた方法になります。 もちろん、組織のセキュリティ
トラブルシューティング
をテストするred teamersでも同じ手法を使用できます。 パケットスニファを使用すると、ネットワーク管理者やエンジニアはネットワークを通過するパケットの内容を表示できます。 これは、DHCP、ARP、DNSなどの基本的なネットワークプロトコルのトラブルシューティングに不可欠な機能です。 ただし、パケットキャプチャでは、暗号化されたネットワークトラフィックの内容は明らかになりません。
パケットをスニッフィングすると、トラフィックがネットワークを介して正しいパスを取っており、正しい優先順位で処理されていることを確認 混雑したネットワークリンクまたは壊れたネットワークリンクは、一般的に両側の会話の片側だけが存在するため、パケットキャプチャで簡単に見つけ 多数の再試行またはパケットが切断された接続は、多くの場合、リンクの使用過多またはネットワークハードウェアの障害を示しています。
侵入検知
疑わしいネットワークトラフィックをパケットキャプチャとして保存し、さらに分析するためにIDS、IPS、またはSIEMソリューションに供給するこ 攻撃者は、通常のネットワークトラフィックと調和するために非常に長い時間を費やしますが、慎重な検査で秘密のトラフィッ 既知の悪意のあるIPアドレス、証拠となるペイロード、およびその他の詳細は、すべて攻撃を示すことができます。 DNS要求のように無害なものであっても、一定の間隔で繰り返されると、コマンドと制御ビーコンの兆候になる可能性があります。
インシデント対応とフォレンジック
パケットキャプチャは、インシデント対応者にユニークな機会を提供します。 攻撃者はエンドポイントでトラックをカバーするための措置を講じることができますが、すでにネットワークを通過したパケットの送信を解除す マルウェア、データの流出、その他の種類のインシデントのいずれであっても、パケットキャプチャは、他のセキュリティツールが見逃している攻撃の兆候 パケットヘッダには常に送信元アドレスと宛先アドレスの両方が含まれているため、インシデント対応チームはパケットキャプチャを使用して、ネットワークを経由して攻撃者の経路を追跡したり、ネットワークからデータが流出した兆候を発見したりできます。
パケットキャプチャの長所と短所
既に述べたように、パケットキャプチャはネットワーク管理者やセキュリティチームにとって非常に大きな資産 ただし、ネットワークトラフィックを監視するための唯一のオプションではなく、SNMPやNetFlowのようなものがより良い選択肢である場合があります。 パケットキャプチャを使用する利点と欠点のいくつかを見てみましょう。
利点:ネットワークトラフィックの最も完全な外観
パケットキャプチャは、定義上、ネットワークまたはネットワークリンクを通過する実際のパケットの重複コピーです。 したがって、可能なネットワークトラフィックを最も徹底的に見ています。 パケットキャプチャには、完全なペイロード、すべてのIPヘッダーフィールド、および多くの場合、キャプチャインターフェイスに関する情報など、他の監視ソリ これは細部の多くが要求される場合の唯一の実行可能な解決を捕獲することを作ることができる。
利点:それ以上の分析のために救うことができます
包み捕獲は業界標準のそれ以上の分析か点検のために救うことができます。pcapおよび.pcapng形式。 これにより、たとえば、不審なトラフィックをネットワークエンジニアが保存し、後でセキュリティアナリストが確認することができます。 セキュリティ分析ツールを含む、さまざまなツールがこの形式をサポートしています。 また、数時間分のデータで構成されるパケットキャプチャを保存し、後で確認することもできます。
利点:ハードウェアに依存しない
SNMPとNetFlowの両方がネットワークハードウェアレベルでのサポートを必要とします。 両方の技術は幅広いサポートを享受していますが、普遍的に利用可能ではありません。 また、各ベンダーがそれらを実装する方法にも違いがある場合があります。 一方、パケットキャプチャは、特殊なハードウェアサポートを必要とせず、ネットワークにアクセスできる任意のデバイスから実行できます。
欠点:大きなファイルサイズ
フルパケットキャプチャは、ディスク領域を大量に占有する可能性があります–場合によっては、他のオプションの20倍 フィルタリングが適用されている場合でも、単一のキャプチャファイルは、多くのギガバイトの記憶域を占有することがあります。 これにより、パケットキャプチャは長期保存には適さなくなる可能性があります。 これらの大きなファイルサイズは、aを開くときに長い待ち時間をもたらす可能性があります。ネットワーク解析ツールのpcap。
欠点:情報が多すぎる
パケットキャプチャはネットワークトラフィックを非常に完全に見て提供しますが、多くの場合、包括的すぎることがあります。 関連情報は、多くの場合、膨大な量のデータで失われる可能性があります。 分析ツールには、キャプチャファイルの順序、並べ替え、およびフィルタ機能がありますが、多くのユースケースでは、他のオプションを使用した方がよ 他の監視ソリューションで利用可能なネットワークトラフィックの要約されたバージョンだけで、ネットワークのトラブルシューティングや攻撃の兆候を発見することができることがよくあります。 一般的なアプローチの1つは、NetFlowのようなテクノロジを使用してすべてのトラフィックを監視し、必要に応じて完全なパケットキャプチャに移行することです。
欠点:固定フィールド
NetFlowの最新の反復では、カスタマイズ可能なレコードが可能になり、ネットワーク管理者はキャプチャする情報を選択できます。 パケットキャプチャはIPパケットの既存の構造に基づいているため、カスタマイズの余地はありません。 これは問題ではないかもしれませんが、使用例によっては、IPパケットのすべてのフィールドをキャプチャする必要がない場合があります。
結論
パケットキャプチャは、トラブルシューティングとセキュリティの観点からは非常に貴重ですが、ネットワーク管理者やセキュリティエンジニアが依存する唯一のツールであってはなりません。 正当な目的と違法な目的の両方のための暗号化の使用の増加は、Wiresharkのようなツールの有効性を制限します。 また、パケットキャプチャは、インシデント対応者に、ホスト上でどのようなアクションが行われたかをあまり与えません。 単一のパケットを生成せずに、ファイルが変更されたり、プロセスが隠されたり、新しいユーザーアカウントが作成されたりする可能性があります。 Varonis Data Protectionプラットフォームは、ネットワーク内で検出されない脅威を見つけることができる組織のデータ中心のビューを提供します。 いつものように、ネットワークで詳細な防御とベストプラクティスを採用してください。 また、セキュリティツールの補完にVaronisを追加する準備ができたら、一対一のデモをスケジュールしてください!