Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
tcpdumpとtcpreplayとtcprewriteと他。 | ODP
[go: Go Back, main page]
(^-^) togakushi, profile picture
Uploaded by(^-^) togakushi
ODP, PDF12,094 views

tcpdumpとtcpreplayとtcprewriteと他。

Embed presentation

Downloaded 69 times
tcpdump と tcpreplay と tcprewrite と他。 #ssmjp 2013/03/29 @togakushi
パケット好きですか? ● tcpdump ってコマンドで好きなだけみれま す! ● 要 root – NIC が promiscuous mode へ – 流れてきたパケットは無差別に拾うモード – 通常は自分宛てのパケットしか処理しない
切り分けに超役立つ ● ちゃんと相手から届いてるかわかる ● 誰から送られてきてるかわかる ● 暗号化されてるかわかる
インテリジェントなスイッチ ● MAC アドレスの学習 – 接続されたポートの先に何が繋がってるか知って いる – tcpdump を動かすマシンから見ると、自分宛のパ ケットしか流れてこない>< ● 気になるあの子 ( サーバ ) のパケットも見た い! (注:他人の通信を覗くのはダメですよ)
こんなこともあろうかと! ● ミラーポート – 超賢いスイッチはパケットをコピーして複数のポ ートに流せる ● タップ – 物理的に出力を 2 つに分ける
タップの仕組み 1つの送信 (TD) を 2 つの受信 (RD) に繋ぐだけ! 1:TD+ 1:TD+ HOST-B HOST-A 2:TD- 2:TD- 3:RD+ 3:RD+ 6:RD- 6:RD- 3:RD+ 6:RD- 3:RD+ 6:RD- eth0 eth1 HOST-C(tcpdump) 100BASE までなら簡単に自作できる!
ハニーネットで大活躍ですね! 1:TD+ 1:TD+ H 2:TD- 2:TD- Sniffer U B 3:RD+ 3:RD+ 6:RD- 6:RD- 受信専用ケーブル ※ 賢くない HUB に繋いで使います
自分宛てのが見れれば十分です ● 全部見ると大変→フィルタを使う # tcpdump -i any -nn port 80 # tcpdump -i any -nn host 192.168.1.1 and port 80 # tcpdump -i any -nn not port 22 and not port 3389 ● ペイロードまで見たい # tcpdump -i any -nn -x # tcpdump -i any -nn -X 小文字: Hex ダンプだけ 大文字:アスキー付き
キャプチャサイズがデカいと疲れる ● 自動分割(出力先ファイルの切り替え) – サイズ分割 # tcpdump -i eth0 -C 10 -Z root -w tcpdump.pcap -C file_size(MB) -Z root を指定する # ls tcpdump* tcpdump.pcap tcpdump.pcap.1 tcpdump.pcap.2 ... – 時間分割 # tcpdump -i eth0 -G 60 -Z root -w tcpdump_%Y%m%d-%H%M%S.pcap -G rotate_seconds -w strftime の書式文字列を含める # ls tcpdump* tcpdump_20120909-000740.pcap tcpdump_20120909-000840.pcap tcpdump_20120909-000940.pcap ...
取ったあとに分けたい ● tcpslice – 指定時間の範囲で切り出し ● キャプチャされてる時間の確認( 3 種類) % tcpslice -r tcpdump.pcap tcpdump.pcap Wed Mar 27 11:44:11 2013 Wed Mar 27 11:44:23 2013 % tcpslice -t tcpdump.pcap tcpdump.pcap 2013y03m27d11h44m11s817661u 2013y03m27d11h44m23s174956u % tcpslice -R tcpdump.pcap tcpdump.pcap 1364352251.817661 1364352263.174956 ● 開始時間から相対的に指定も可能 % tcpslice 1364352251.817661 +10 -w new.pcap tcpdump.pcap
別れたけどよりを戻したい ● mergecap – くっつけたい pcap を順番に並べて出力ファイル 名を指定するだけ % mergecap -w <outfile> <infile> [<infile> ...]
ペイロードで絞りたい? ● そんなときは「 ngrep 」 – 条件にマッチしたパケットだけ表示する grep のネ ットワーク版 – オプションも grep とだいたい共通 ● -i :大文字小文字の無視 ● -w :単語にマッチ ● -v :マッチしないものを表示 ● -X : 16 進数のストリングで指定 # ngrep [option] < match expression > < bpf filter > # ngrep -q -d eth0 '' port 80
ngrep ● -K < 回数 > – マッチしたパケットに RST を投げる ( 通信の切 断) – 簡単な L7FW に – リモートのサーバで「 ngrep -K 1 」ってやると死 ぬ
grep があるなら sed だって ● netsed – ネットワークストリームエディタ – 条件にマッチしたペイロードの文字列を書き換え # netsed [<proto>] <lport> <rhost> <rport> <rule1> [<rule2> ...] # netsed 8080 192.168.1.1 80 's/google/yahoo' →localhost:8080 に繋ぐと 192.168.1.1:80 に転送  双方向のパケットでルールに基いて書き換え
GUI で見たいよね ● wireshark の出番
でもやっぱり CLI だよね ● tshark の出番 – wireshark に付属 – wireshark の CLI 版 % tshark -r x.pcap 1 0.000000 192.168.100.101 -> 192.168.100.102 TCP 74 49924 > http [SYN] Seq=0 Win=... 2 0.000567 192.168.100.101 -> 192.168.100.102 TCP 66 49924 > http [ACK] Seq=1 Ack=... 3 0.000697 192.168.100.101 -> 192.168.100.102 HTTP 223 GET / HTTP/1.1 4 0.007204 192.168.100.101 -> 192.168.100.102 TCP 66 49924 > http [ACK] Seq=158 Ack=... 5 0.007224 192.168.100.101 -> 192.168.100.102 TCP 66 49924 > http [ACK] Seq=158 Ack=... 6 0.007320 192.168.100.101 -> 192.168.100.102 TCP 66 49924 > http [ACK] Seq=158 Ack=... 7 0.007517 192.168.100.101 -> 192.168.100.102 TCP 66 49924 > http [ACK] Seq=158 Ack=... 8 0.007580 192.168.100.101 -> 192.168.100.102 TCP 66 49924 > http [FIN, ACK] Seq=158 ... 9 0.007625 192.168.100.101 -> 192.168.100.102 TCP 66 49924 > http [ACK] Seq=159 Ack=...
パケット好きですか(再) ● あの素晴らしいパケットをもう一度
tcpreplay ● tcpdump で取得したパケット (pcap) の内容を ネットワークに流す – FW や IDS のテストで使用 – 全部まとめて流したり、 1 パケットずつ(選択し て)流したり、帯域を絞って流したり、繰り返し 流したり
tcprewrite ● pcap の内容を書き換える ● tcpreplay の補助ツール – IP アドレスの書き換え(送信/受信) – MAC アドレスの書き換え ( 〃 ) – VLAN タグの書き換え(削除/追加)
参考文献 ● http://wiki.wireshark.org/CaptureSetup/Ethernet ● man tcpdump ● man tcpreplay / tcprewrite

More Related Content

PDF
パケットキャプチャの勘どころ Ssmjp 201501
by稔 小林
 
PDF
Scapyで作る・解析するパケット
byTakaaki Hoyo
 
PDF
Pythonでパケット解析
byeuphoricwavism
 
PDF
WebAssemblyのWeb以外のことぜんぶ話す
byTakaya Saeki
 
PDF
噛み砕いてKafka Streams #kafkajp
byYahoo!デベロッパーネットワーク
 
PDF
Where狙いのキー、order by狙いのキー
byyoku0825
 
PDF
インフラエンジニアの綺麗で優しい手順書の書き方
byShohei Koyama
 
PDF
Linux女子部 systemd徹底入門
byEtsuji Nakai
 
パケットキャプチャの勘どころ Ssmjp 201501
by稔 小林
 
Scapyで作る・解析するパケット
byTakaaki Hoyo
 
Pythonでパケット解析
byeuphoricwavism
 
WebAssemblyのWeb以外のことぜんぶ話す
byTakaya Saeki
 
噛み砕いてKafka Streams #kafkajp
byYahoo!デベロッパーネットワーク
 
Where狙いのキー、order by狙いのキー
byyoku0825
 
インフラエンジニアの綺麗で優しい手順書の書き方
byShohei Koyama
 
Linux女子部 systemd徹底入門
byEtsuji Nakai
 

What's hot

PDF
about Tcpreplay
by@ otsuka752
 
PDF
さくらのVPS で IPv4 over IPv6ルータの構築
byTomocha Potter
 
PDF
TCAMのしくみ
byogatay
 
PDF
PPL 2022 招待講演: 静的型つき函数型組版処理システムSATySFiの紹介
byT. Suwa
 
PDF
実践イカパケット解析
byYuki Mizuno
 
PDF
高速にコンテナを起動できるイメージフォーマット
byAkihiro Suda
 
PDF
実践 WebRTC 〜最新事例と開発ノウハウの紹介〜
byYusuke Naka
 
PPTX
M5StackをRustで動かす
byKenta IDA
 
PDF
ネットワーク ゲームにおけるTCPとUDPの使い分け
byモノビット エンジン
 
PDF
IPv6 を始めてみた
bymiki koganei
 
PDF
MySQLで論理削除と正しく付き合う方法
byyoku0825
 
PDF
Protocol Buffers 入門
byYuichi Ito
 
PDF
WebSocket / WebRTCの技術紹介
byYasuhiro Mawarimichi
 
PDF
目grep入門 +解説
bymurachue
 
PDF
こんなに使える!今どきのAPIドキュメンテーションツール
bydcubeio
 
PPTX
DockerコンテナでGitを使う
byKazuhiro Suga
 
PPTX
ネットストーカー御用達OSINTツールBlackBirdを触ってみた.pptx
byShota Shinogi
 
PDF
Dockerからcontainerdへの移行
byKohei Tokunaga
 
PDF
Fluentdのお勧めシステム構成パターン
byKentaro Yoshida
 
PDF
TLS, HTTP/2演習
byshigeki_ohtsu
 
about Tcpreplay
by@ otsuka752
 
さくらのVPS で IPv4 over IPv6ルータの構築
byTomocha Potter
 
TCAMのしくみ
byogatay
 
PPL 2022 招待講演: 静的型つき函数型組版処理システムSATySFiの紹介
byT. Suwa
 
実践イカパケット解析
byYuki Mizuno
 
高速にコンテナを起動できるイメージフォーマット
byAkihiro Suda
 
実践 WebRTC 〜最新事例と開発ノウハウの紹介〜
byYusuke Naka
 
M5StackをRustで動かす
byKenta IDA
 
ネットワーク ゲームにおけるTCPとUDPの使い分け
byモノビット エンジン
 
IPv6 を始めてみた
bymiki koganei
 
MySQLで論理削除と正しく付き合う方法
byyoku0825
 
Protocol Buffers 入門
byYuichi Ito
 
WebSocket / WebRTCの技術紹介
byYasuhiro Mawarimichi
 
目grep入門 +解説
bymurachue
 
こんなに使える!今どきのAPIドキュメンテーションツール
bydcubeio
 
DockerコンテナでGitを使う
byKazuhiro Suga
 
ネットストーカー御用達OSINTツールBlackBirdを触ってみた.pptx
byShota Shinogi
 
Dockerからcontainerdへの移行
byKohei Tokunaga
 
Fluentdのお勧めシステム構成パターン
byKentaro Yoshida
 
TLS, HTTP/2演習
byshigeki_ohtsu
 

Viewers also liked

PDF
SSH力をつけよう
by(^-^) togakushi
 
PDF
about tcpreplay-edit
by@ otsuka752
 
PDF
H2O x mrubyで人はどれだけ幸せになれるのか
byIchito Nagata
 
PPT
Fuentes de alimentacion
byANTONIO MIGUEL JORDAN GAMITO
 
PDF
ダブル配列の豆知識
bys5yata
 
PPTX
Popular Struggles & Movements
byMukund Ingle
 
ODP
Lipril (Lisinopril Dihydrate Tablets)
byClearsky Pharmacy
 
PPTX
Supercharge your Investments with Tax-Loss Harvesting
byWealthfront
 
PDF
SMARTI
bySMARTI ETN Comms
 
PPT
De felipe iii a carlos ii
byrousbell
 
PPT
New Heavens & New Earth
bychildrensministry
 
PDF
最新アドテク×Java script実践活用術
byNagao Shun
 
PDF
Bienvenidos actualizando información sobre BETT & ISE 2017
bygroupVision | optimizing group collaboration
 
PDF
Prepare se para sua startup de sucesso!
byIgor Fonseca
 
PDF
Event Report - Worforce Software Vision 2017 - Time to start the boosters
byHolger Mueller
 
PDF
Offshore Maintenance Success: Adding $434M to the Bottom Line
byRobert Mason
 
PPTX
#ABC17 : Alphabet of Innovations, Academic Concepts and Emerging Movements
byDuane Holland
 
PPTX
UI composition
byJohan Cambre
 
DOCX
Insignias digitales. trabajo final.Lucy Fernández
byLucy Fernandez
 
PDF
Finansijski izvjestaj o radu za 2016. godinu - Župa u srcu
byZupa U srcu
 
SSH力をつけよう
by(^-^) togakushi
 
about tcpreplay-edit
by@ otsuka752
 
H2O x mrubyで人はどれだけ幸せになれるのか
byIchito Nagata
 
Fuentes de alimentacion
byANTONIO MIGUEL JORDAN GAMITO
 
ダブル配列の豆知識
bys5yata
 
Popular Struggles & Movements
byMukund Ingle
 
Lipril (Lisinopril Dihydrate Tablets)
byClearsky Pharmacy
 
Supercharge your Investments with Tax-Loss Harvesting
byWealthfront
 
SMARTI
bySMARTI ETN Comms
 
De felipe iii a carlos ii
byrousbell
 
New Heavens & New Earth
bychildrensministry
 
最新アドテク×Java script実践活用術
byNagao Shun
 
Bienvenidos actualizando información sobre BETT & ISE 2017
bygroupVision | optimizing group collaboration
 
Prepare se para sua startup de sucesso!
byIgor Fonseca
 
Event Report - Worforce Software Vision 2017 - Time to start the boosters
byHolger Mueller
 
Offshore Maintenance Success: Adding $434M to the Bottom Line
byRobert Mason
 
#ABC17 : Alphabet of Innovations, Academic Concepts and Emerging Movements
byDuane Holland
 
UI composition
byJohan Cambre
 
Insignias digitales. trabajo final.Lucy Fernández
byLucy Fernandez
 
Finansijski izvjestaj o radu za 2016. godinu - Župa u srcu
byZupa U srcu
 

Similar to tcpdumpとtcpreplayとtcprewriteと他。

PDF
CTF for ビギナーズ ネットワーク講習資料
bySECCON Beginners
 
PDF
hpingで作るパケット
byTakaaki Hoyo
 
PDF
Hokkaido.cap #osc11do Wiresharkを使いこなそう!
byPanda Yamaki
 
PDF
Hokkaido.cap#1 Wiresharkの使い方(基礎編)
byPanda Yamaki
 
PDF
Wiresharkで検出できないチャットプログラム
byShinichi Hirauchi
 
PDF
Hokkaido.cap#2 一般的なプロトコルのパケットを覗いてみよう
byPanda Yamaki
 
PDF
TCP connectionの保存と復元
bymittyorz
 
PDF
Scapy presentation
byashigirl ZareGoto
 
PDF
Scapy presentation Remake(訂正)
byashigirl ZareGoto
 
PDF
Hokkaido.cap#7 ケーススタディ(セキュリティ解析:前編)
byPanda Yamaki
 
PDF
Hokkaido.cap#3 ケーススタディ(基礎編)
byPanda Yamaki
 
PDF
パケットキャプチャの定番! Wiresharkのインストールとミニ紹介
byShin Tanigawa
 
PDF
Hokkaido.cap#10 実践パケット解析まとめ
byPanda Yamaki
 
PPTX
Pakeana 06
by彰 村地
 
PDF
Trema day 1
byykuga
 
PDF
#pakeana 14
by@ otsuka752
 
PPTX
LinAction Theme LPICの問題を解いてみる~ネットワーク編~
bycyberblack28 Ichikawa
 
PDF
how to GET GET
by@ otsuka752
 
PDF
MacPort_&_FTP_ver1.0
bySatoshi Kume
 
PDF
Security.gs fes 2010 in tokyo
byRen Sakamoto
 
CTF for ビギナーズ ネットワーク講習資料
bySECCON Beginners
 
hpingで作るパケット
byTakaaki Hoyo
 
Hokkaido.cap #osc11do Wiresharkを使いこなそう!
byPanda Yamaki
 
Hokkaido.cap#1 Wiresharkの使い方(基礎編)
byPanda Yamaki
 
Wiresharkで検出できないチャットプログラム
byShinichi Hirauchi
 
Hokkaido.cap#2 一般的なプロトコルのパケットを覗いてみよう
byPanda Yamaki
 
TCP connectionの保存と復元
bymittyorz
 
Scapy presentation
byashigirl ZareGoto
 
Scapy presentation Remake(訂正)
byashigirl ZareGoto
 
Hokkaido.cap#7 ケーススタディ(セキュリティ解析:前編)
byPanda Yamaki
 
Hokkaido.cap#3 ケーススタディ(基礎編)
byPanda Yamaki
 
パケットキャプチャの定番! Wiresharkのインストールとミニ紹介
byShin Tanigawa
 
Hokkaido.cap#10 実践パケット解析まとめ
byPanda Yamaki
 
Pakeana 06
by彰 村地
 
Trema day 1
byykuga
 
#pakeana 14
by@ otsuka752
 
LinAction Theme LPICの問題を解いてみる~ネットワーク編~
bycyberblack28 Ichikawa
 
how to GET GET
by@ otsuka752
 
MacPort_&_FTP_ver1.0
bySatoshi Kume
 
Security.gs fes 2010 in tokyo
byRen Sakamoto
 

More from (^-^) togakushi

ODP
sshdのお話
by(^-^) togakushi
 
PDF
jenkinsで遊ぶ
by(^-^) togakushi
 
PDF
KVM+cgroup
by(^-^) togakushi
 
PDF
SSH力をつかおう
by(^-^) togakushi
 
ODP
現場で役に立たないsudoの使い方
by(^-^) togakushi
 
ODP
OpenSSH User EnumerationTime-Based Attack と Python-paramiko
by(^-^) togakushi
 
PDF
Pakena #9
by(^-^) togakushi
 
PDF
ファイナル・ファンタジー2のデータを解析してみる
by(^-^) togakushi
 
PDF
手順書の話 Ver.0.3.0
by(^-^) togakushi
 
PPTX
成績管理の話 (続き)
by(^-^) togakushi
 
PDF
ささみ麻雀部の紹介
by(^-^) togakushi
 
PDF
Janog33.5
by(^-^) togakushi
 
PDF
Sfstudy #2
by(^-^) togakushi
 
PDF
仕事の捉え方の話 #ssmjp
by(^-^) togakushi
 
PPT
ひとりsphinx
by(^-^) togakushi
 
sshdのお話
by(^-^) togakushi
 
jenkinsで遊ぶ
by(^-^) togakushi
 
KVM+cgroup
by(^-^) togakushi
 
SSH力をつかおう
by(^-^) togakushi
 
現場で役に立たないsudoの使い方
by(^-^) togakushi
 
OpenSSH User EnumerationTime-Based Attack と Python-paramiko
by(^-^) togakushi
 
Pakena #9
by(^-^) togakushi
 
ファイナル・ファンタジー2のデータを解析してみる
by(^-^) togakushi
 
手順書の話 Ver.0.3.0
by(^-^) togakushi
 
成績管理の話 (続き)
by(^-^) togakushi
 
ささみ麻雀部の紹介
by(^-^) togakushi
 
Janog33.5
by(^-^) togakushi
 
Sfstudy #2
by(^-^) togakushi
 
仕事の捉え方の話 #ssmjp
by(^-^) togakushi
 
ひとりsphinx
by(^-^) togakushi
 

Recently uploaded

PDF
安価な ロジック・アナライザを アナライズ(?),Analyze report of some cheap logic analyzers
byたけおか しょうぞう
 
PDF
第25回FA設備技術勉強会_自宅で勉強するROS・フィジカルAIアイテム.pdf
byTomohiroKusu
 
PDF
基礎から学ぶ PostgreSQL の性能監視 (PostgreSQL Conference Japan 2025 発表資料)
byNTT DATA Technology & Innovation
 
PPTX
DrupalCon Nara 2025の記録 .
byiPride Co., Ltd.
 
PDF
visionOS TC「新しいマイホームで過ごすApple Vision Proとの新生活」
bySugiyama Yugo
 
PDF
2025年のさくらインターネット 〜オープンソースカンファレンス2025沖縄編〜
by法林浩之
 
PDF
PCCC25(設立25年記念PCクラスタシンポジウム):株式会社アルゴグラフィックス テーマ1「ARGO北見テクノセンターのご紹介」
byPC Cluster Consortium
 
安価な ロジック・アナライザを アナライズ(?),Analyze report of some cheap logic analyzers
byたけおか しょうぞう
 
第25回FA設備技術勉強会_自宅で勉強するROS・フィジカルAIアイテム.pdf
byTomohiroKusu
 
基礎から学ぶ PostgreSQL の性能監視 (PostgreSQL Conference Japan 2025 発表資料)
byNTT DATA Technology & Innovation
 
DrupalCon Nara 2025の記録 .
byiPride Co., Ltd.
 
visionOS TC「新しいマイホームで過ごすApple Vision Proとの新生活」
bySugiyama Yugo
 
2025年のさくらインターネット 〜オープンソースカンファレンス2025沖縄編〜
by法林浩之
 
PCCC25(設立25年記念PCクラスタシンポジウム):株式会社アルゴグラフィックス テーマ1「ARGO北見テクノセンターのご紹介」
byPC Cluster Consortium
 

tcpdumpとtcpreplayとtcprewriteと他。

  • 1.
    tcpdump と tcpreplay と tcprewrite と他。 #ssmjp 2013/03/29 @togakushi
  • 2.
    パケット好きですか? ● tcpdump ってコマンドで好きなだけみれま す! ● 要 root – NIC が promiscuous mode へ – 流れてきたパケットは無差別に拾うモード – 通常は自分宛てのパケットしか処理しない
  • 3.
    切り分けに超役立つ ● ちゃんと相手から届いてるかわかる ● 誰から送られてきてるかわかる ● 暗号化されてるかわかる
  • 4.
    インテリジェントなスイッチ ● MAC アドレスの学習 – 接続されたポートの先に何が繋がってるか知って いる – tcpdump を動かすマシンから見ると、自分宛のパ ケットしか流れてこない>< ● 気になるあの子 ( サーバ ) のパケットも見た い! (注:他人の通信を覗くのはダメですよ)
  • 5.
    こんなこともあろうかと! ● ミラーポート – 超賢いスイッチはパケットをコピーして複数のポ ートに流せる ● タップ – 物理的に出力を 2 つに分ける
  • 6.
    タップの仕組み 1つの送信 (TD) を2 つの受信 (RD) に繋ぐだけ! 1:TD+ 1:TD+ HOST-B HOST-A 2:TD- 2:TD- 3:RD+ 3:RD+ 6:RD- 6:RD- 3:RD+ 6:RD- 3:RD+ 6:RD- eth0 eth1 HOST-C(tcpdump) 100BASE までなら簡単に自作できる!
  • 7.
    ハニーネットで大活躍ですね! 1:TD+ 1:TD+ H 2:TD- 2:TD- Sniffer U B 3:RD+ 3:RD+ 6:RD- 6:RD- 受信専用ケーブル ※ 賢くない HUB に繋いで使います
  • 8.
    自分宛てのが見れれば十分です ● 全部見ると大変→フィルタを使う # tcpdump -i any -nn port 80 # tcpdump -i any -nn host 192.168.1.1 and port 80 # tcpdump -i any -nn not port 22 and not port 3389 ● ペイロードまで見たい # tcpdump -i any -nn -x # tcpdump -i any -nn -X 小文字: Hex ダンプだけ 大文字:アスキー付き
  • 9.
    キャプチャサイズがデカいと疲れる ● 自動分割(出力先ファイルの切り替え) – サイズ分割 # tcpdump -i eth0 -C 10 -Z root -w tcpdump.pcap -C file_size(MB) -Z root を指定する # ls tcpdump* tcpdump.pcap tcpdump.pcap.1 tcpdump.pcap.2 ... – 時間分割 # tcpdump -i eth0 -G 60 -Z root -w tcpdump_%Y%m%d-%H%M%S.pcap -G rotate_seconds -w strftime の書式文字列を含める # ls tcpdump* tcpdump_20120909-000740.pcap tcpdump_20120909-000840.pcap tcpdump_20120909-000940.pcap ...
  • 10.
    取ったあとに分けたい ● tcpslice – 指定時間の範囲で切り出し ● キャプチャされてる時間の確認( 3 種類) % tcpslice -r tcpdump.pcap tcpdump.pcap Wed Mar 27 11:44:11 2013 Wed Mar 27 11:44:23 2013 % tcpslice -t tcpdump.pcap tcpdump.pcap 2013y03m27d11h44m11s817661u 2013y03m27d11h44m23s174956u % tcpslice -R tcpdump.pcap tcpdump.pcap 1364352251.817661 1364352263.174956 ● 開始時間から相対的に指定も可能 % tcpslice 1364352251.817661 +10 -w new.pcap tcpdump.pcap
  • 11.
    別れたけどよりを戻したい ● mergecap – くっつけたい pcap を順番に並べて出力ファイル 名を指定するだけ % mergecap -w <outfile> <infile> [<infile> ...]
  • 12.
    ペイロードで絞りたい? ● そんなときは「 ngrep 」 – 条件にマッチしたパケットだけ表示する grep のネ ットワーク版 – オプションも grep とだいたい共通 ● -i :大文字小文字の無視 ● -w :単語にマッチ ● -v :マッチしないものを表示 ● -X : 16 進数のストリングで指定 # ngrep [option] < match expression > < bpf filter > # ngrep -q -d eth0 '' port 80
  • 13.
    ngrep ● -K < 回数 > – マッチしたパケットに RST を投げる ( 通信の切 断) – 簡単な L7FW に – リモートのサーバで「 ngrep -K 1 」ってやると死 ぬ
  • 14.
    grep があるなら sedだって ● netsed – ネットワークストリームエディタ – 条件にマッチしたペイロードの文字列を書き換え # netsed [<proto>] <lport> <rhost> <rport> <rule1> [<rule2> ...] # netsed 8080 192.168.1.1 80 's/google/yahoo' →localhost:8080 に繋ぐと 192.168.1.1:80 に転送  双方向のパケットでルールに基いて書き換え
  • 15.
    GUI で見たいよね ● wireshark の出番
  • 16.
    でもやっぱり CLI だよね ● tshark の出番 – wireshark に付属 – wireshark の CLI 版 % tshark -r x.pcap 1 0.000000 192.168.100.101 -> 192.168.100.102 TCP 74 49924 > http [SYN] Seq=0 Win=... 2 0.000567 192.168.100.101 -> 192.168.100.102 TCP 66 49924 > http [ACK] Seq=1 Ack=... 3 0.000697 192.168.100.101 -> 192.168.100.102 HTTP 223 GET / HTTP/1.1 4 0.007204 192.168.100.101 -> 192.168.100.102 TCP 66 49924 > http [ACK] Seq=158 Ack=... 5 0.007224 192.168.100.101 -> 192.168.100.102 TCP 66 49924 > http [ACK] Seq=158 Ack=... 6 0.007320 192.168.100.101 -> 192.168.100.102 TCP 66 49924 > http [ACK] Seq=158 Ack=... 7 0.007517 192.168.100.101 -> 192.168.100.102 TCP 66 49924 > http [ACK] Seq=158 Ack=... 8 0.007580 192.168.100.101 -> 192.168.100.102 TCP 66 49924 > http [FIN, ACK] Seq=158 ... 9 0.007625 192.168.100.101 -> 192.168.100.102 TCP 66 49924 > http [ACK] Seq=159 Ack=...
  • 17.
    パケット好きですか(再) ● あの素晴らしいパケットをもう一度
  • 18.
    tcpreplay ● tcpdump で取得したパケット (pcap) の内容を ネットワークに流す – FW や IDS のテストで使用 – 全部まとめて流したり、 1 パケットずつ(選択し て)流したり、帯域を絞って流したり、繰り返し 流したり
  • 19.
    tcprewrite ● pcap の内容を書き換える ● tcpreplay の補助ツール – IP アドレスの書き換え(送信/受信) – MAC アドレスの書き換え ( 〃 ) – VLAN タグの書き換え(削除/追加)
  • 20.
    参考文献 ● http://wiki.wireshark.org/CaptureSetup/Ethernet ● man tcpdump ● man tcpreplay / tcprewrite