はじめに HTTPS(HTTP Over TLS)とは SSL/TLS HTTPSの流れ 実際に通信を観察 自己署名証明書の用意 サーバーの作成 WireSharkの準備 リクエストを送信して観察 まとめ はじめに エンジニア2年目のTKDSです! 普段何気なく使ってるほとんどのWebサイトが対応しているHTTPS通信の仕組みについて調べてみました。 本記事では、Wiresharkを用いてHTTPSの内部動作を解析し、どのようにしてデータが保護されているのかを具体的に解説します。 記事の後半では、Wiresharkを使って実際の通信データを観察し、暗号化プロセスの詳細を確認してみます。 HTTPS(HTTP Over TLS)とは HTTPS(HTTP Over TLS)は、HTTPの暗号化版で、ウェブサイトとブラウザ間の安全な通信を実現するプロトコルです。 TLSを使用して、HTTP通信
概要 近年、攻撃者がリモートデスクトッププロトコル(RDP)を悪用してセキュリティの甘いサーバーやエンタープライズネットワークにアクセスするケースが増えています。また2017年以降RDPはランサムウェアを使用するマルウェア攻撃の重要な攻撃ベクトルにもなっています。セキュリティ専門家もRDPの脆弱性を検出して攻撃を防ぐためのシグネチャを作成しており、このプロトコルには多くの注目が向けられています。 RDPはMicrosoftによるプロプラエタリなプロトコルで、ネットワークトラフィックを暗号化するための動作モードをいくつかサポートしています。残念ながら、暗号化されてRDPコンテンツが非表示になるとRDP用シグネチャの作成はむずかしくなりますが、復号用の秘密鍵ファイルを用意したテスト環境があればWiresharkのRDPトラフィックを含むパケットキャプチャ(pcap)を復号できるようになります。
表題のとおり、Claude Codeが4~5並列にSubAgentを起動した時に自宅ネットワークが死ぬ問題が起きていた。その状況になると次のような現象が起きていた。 pingなども含めて一切外部との通信ができなくなる Claude Codeを一旦止めて数分待つと復活する この現象について知人に相談しながら対応を進めたところ解消できたので、ログとしてブログに残しておく。ただしネットワークについて専門分野ではないため、かなり間違ったことを書くかもしれない。その場合は指摘してもらえると嬉しい。 自宅ネットワークの構成 ISP: enひかり + v6プラスオプション ルーター: Aterm 2600HP4 再現させる まず再現はかなり簡単に取れた。Claudeを起動し、「どういう内容でもいいので、10並列で何かの調査を行なってみて」と指示を出すと、Explore SubAgentが一斉に起動する。
研究開発部 システム&セキュリティ担当の松倉です。 ネットワークのトラブルシューティングにおいてパケットキャプチャは強力で、弊社のつよつよエンジニアも「困ったらパケットを見ろ」と言うほどです。 また、インターネットが当たり前に普及している現代においてはサイバー攻撃もネットワーク経由で来ることが多く、パケット解析は我々セキュリティエンジニアにとって重要なスキルセットの一つと言えます。 パケット解析ツールといえば Wireshark が非常に有名でデファクトスタンダードと言えると思いますが、そんな Wireshark 誕生から 27 年の時が経ち、発展版?ともいえる Stratoshark というツールが発表されました。 これは気になる!ということで百聞は一見に如かず、どんなツールなのか触ってみました。 Stratoshark の概要 システムコールと SCAP ファイル Stratoshar
新型コロナウイルス禍で企業ネットワークの姿が変わってきています。ネットワーク管理にも変化に対応した手法が求められています。この特集ではネットワークを流れるパケットをキャプチャーして収集し、Pythonとリレーショナルデータベースを用いて精度よく解析するための実践的なテクニックを紹介します。第2回はパケット解析のツールとしてよく使われる「Wireshark」で「できる」こと、「できない」ことを通してパケットキャプチャーにプログラミングを導入する背景やその考え方を解説します。 パケット解析をする際によく使われる「Wireshark」をご存じでしょうか。オープンソースソフトウエア(OSS)として現在も活発に開発が続けられています。もはや業界標準と言っても差し支えないポピュラーなツールです。パケットキャプチャーの参考書などでは必ずと言っていいほど取り上げられており、Wiresharkの使い方がパケ
こんにちは、SSTでWeb脆弱性診断用のツール(スキャンツール)開発をしている坂本(Twitter, GitHub)です。 社内で診断ツールやプロキシを開発していることもあり、通信関連のトラブル相談を受けることがあります。 その中で「そもそも HTTP(S) Proxyを設定するとはどういうことか?」を解説する機会が何度かありましたので、これを機にエンジニアブログで紹介したいと思います。 当ブログの読者としてはWebエンジニアや情報セキュリティ関係者が多いと思います。 そうした方であれば「Proxyを設定する」経験がある方もいらっしゃるでしょう。 では「Proxyを設定する」とはどういうことか、ご存知でしょうか? 本記事ではその疑問について、Wiresharkを用いたパケットレベルの観察を元に解説します。 パケット観察1: HTTP Proxy ON/OFF curlコマンドでHTTPリク
医療DXのヘンリーの開発トップにインタビュー。モノリスからマイクロサービスに回帰する背景とは? 1月5日 6:01
目的 Webアプリケーションのフロントやバックエンドの開発でHTTPを使用したプログラムを実装している人は多いかと思います。 しかしながら、実際、そのデータがどう流れているかを具体的に意識する機会は少ないです。 本記事の目的はHTTP/1.1→HTTP/2→HTTP/3で、送受信されるデータがどのように変わったかを確認することを目的とします。 以下のケースで、データがどのように流れているかをWiresharkを使用して確認します。 HTTP/1.1 によるブラウザとサーバー間のデータ TLS1.3+HTTP/1.1 によるブラウザとサーバー間のデータ HTTP/2 によるブラウザとサーバー間のデータ HTTP/3 によるブラウザとサーバー間のデータ 今回は再送時やエラー時の検証などは範囲外とし、各ケースにおいて簡単なデータの送受信でどのような違いがあるかを確認するのにとどめます。 また、実
What's really happening in your cloud? Stratoshark lets you explore and analyze applications at the system call level using a mature, proven interface based on Wireshark. Created for the community by Sysdig. News Stratoshark: Extending Wireshark’s legacy into the cloud Blog post by Gerald Combs and Loris Degioanni Those Aren't Packets: How Stratoshark Brings the Power of Wireshark to the Cloud Blo
tcpdumpではなくてWiresharkでパケットを確認したいな こんにちは、のんピ(@non____97)です。 皆さんはリモートのLinuxマシンをtcpdumpではなくて手元のマシンのWiresharkでパケットを確認したいなと思ったことはありますか? 私はあります。 tcpdumpで上手にフィルタリングをすれば良いのでしょうが、そうでなければ高速目grepすることとなり大変です。 そういった時は慣れ親しんだWiresharkが恋しくなるものです。 実はWiresharkでsshdumpを使えば、SSH越しにリモートコンピューターのパケットキャプチャーをすることはご存知でしょうか。 NAME sshdump - Provide interfaces to capture from a remote host through SSH using a remote capture bi
Falco Feedsは、オープンソースに焦点を当てた企業に、新しい脅威が発見されると継続的に更新される専門家が作成したルールにアクセスできるようにすることで、Falcoの力を拡大します。 本文の内容は、2025年5月12日に Alex Lawrence が投稿したブログ(https://sysdig.com/blog/up-and-running-with-stratoshark-in-5-minutes/)を元に日本語に翻訳・再構成した内容となっております。 Stratosharkとは何ですか?Stratosharkは、Wiresharkの創設者Gerald CombsとFalcoの開発者Loris Degioanniによって開発されたツールで、Wiresharkの高度なネットワーク可視化機能をFalcoエコシステムを通じてクラウドにもたらします。Stratosharkは、Wiresh
An Library to assist in TPM communication capture and tampering - CyberDefenseInstitute/tpmproxy 準備 PC が 1 台必用です。 TPM は無くても構いませんが、あった方が少しだけ楽しみが増えます。 Linux(Ubuntu) をインストール後、Linux 上で仮想マシンに Windows をインストールする流れになりますので、Windows 11 がインストール可能な程度のスペックが必用です。 PC が用意できたら次の作業を行ってください。 BIOS(UEFI)で仮想化機能を有効化 Ubuntu 24.04 インストール Linux 上で仮想マシンが動かせれば何でも構いません(Arch Linux はいいぞ) 本稿では Ubuntu 24.04 のコマンド、パッケージ、パスを前提に手順を解説
Features Offline only - HTTP requests are stored in local files using the .bru format Manage collections and folders to organize your requests Variables to re-use values Environment variables to switch between different environments Securely store secret variables in a .env file How does container monitoring work? The TrayceAgent container runs along side your existing containers. The agent uses e
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
Sysdigは2025年1月22日(現地時間)、オープンソースのクラウドセキュリティツール「Stratoshark」を発表した。このツールは「クラウド版Wireshark」とも称されており、「Wireshark」および「Falco」の技術を基に構築されている。 Stratosharkは、クラウドネイティブ環境の可視性を高度に向上させ、ネットワークアナリストやセキュリティ専門家がクラウド環境でもWiresharkと同様のトラフィック分析やトラブルシューティングが実行できるように支援する。 クラウド版Wiresharkでセキュリティを革新 Stratosharkでできること Wiresharkは長年にわたりネットワーク解析の標準ツールとして広く利用されており、過去10年間で1億6000万回以上ダウンロードされている。しかしクラウド環境の普及に伴い、従来のネットワーク監視手法では可視性が低下し、
Sysdig、Stratosharkを発表、数百万のネットワーク専門家のセキュリティ経験をクラウドに提供可能に 「クラウド版Wireshark」と呼ばれるStratosharkは、WiresharkとFalcoのオープンソースのレガシーを基盤として構築されており、使い慣れたプラットフォームでクラウドネイティブ環境に比類ない可視性を提供します <このプレスリリースは1/22/2025に米国で発表されたリリースの抄訳です> 1/22/2025 ベルギーブリュッセル発FOSDEM 2025にて– リアルタイムクラウドセキュリティのリーダーであるSysdigは本日、Wiresharkのきめ細かいネットワーク可視性をクラウドに拡張し、クラウドのオブザーバビリティに対する標準化されたアプローチをユーザーに提供するオープンソースツール、Stratosharkのリリースを発表しました。 27年にわたり、W
Wiresharkにssh decryptionが実装されていたので試してみる。SSLKEYLOGFILEみたいな仕組みがないので鍵の取り出しが超面倒https://t.co/qLYps4rxa4 https://t.co/zmtOgn1rJj
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
はじめに SOC アナリストにとって,監視対象のログをどこまで保全できるかというのは,インシデント調査を行う上で重要な要素になります.特にトラフィックのフルキャプチャデータは,検出されたサイバー攻撃の詳細調査やサイバー攻撃の影響範囲を特定する上で重要なデータです.NICT の解析チームでは,フルパケットキャプチャおよびパケット分析ツールの一つとしてオープンソースの Arkime を利用しています.セキュリティオペレーションにおいて Arkime は非常に強力なツールですが,日本語で紹介している情報があまり多くないため,今回は NICT のライブネット観測システムにおける運用方法や実際に Arkime を活用した事例をご紹介します. Arkime とは Arkime はオープンソースのパケットキャプチャ&パケット検索ツールです.以前は Moloch という名称でした.シンプルな Web イン
概要 Wiresharkは、ネットワーク内を流れるパケットをキャプチャし、その内容(pcap)を確認するためのツールです。筆者は2018年からさまざまなWiresharkチュートリアルを執筆し、世界中のカンファレンスでワークショップを開き、そこで対面で講師をつとめてきました。これまで筆者が行ったこれらのワークショップは、情報セキュリティ業務にあたる方々がWiresharkを使ってWindowsベースのマルウェア感染トラフィックを確認できるようにすることを目指したものでした。 ただ残念ながら、2020年初頭以降は新型コロナウイルス感染症の拡大による渡航制限で、対面でのワークショップは開催できていません。そこで私たちは、それまで対面で行ってきたワークショップの大半をカバーしたビデオチュートリアルを開発し、その初回シリーズをこちらで公開することにいたしました。 パロアルトネットワークスUnit
はじめにwiresharkを用いた分析を依頼されたとき、使った経験が浅い 、もしくはそもそも使ったこともない人ならば、どういったことを分析することができるのかがわからない人が多いと思います。 今回は、目的別にwiresharkの便利な機能についてスクリーンショット付きで解説いたします。 時刻の修正wiresharkのデフォルトの設定では前のパケットからの相対時間が時刻として表示されてしまいます。トラブルシューティングをする場合、いつどういった問題が起きているのかを報告する必要があるので、相対時間よりは絶対時間で表示するニーズが高いはずです。使ったことのない方向けに設定方法を解説します。 次の図の通り、表示タブの中に時刻表示形式というペインがあるので、その中から任意の表示方法を選択するだけです。 出力結果をCSVで出力したいトラブルシューティングを行っていると、キャプチャファイルをCSVで出
スペクトラム・テクノロジーは、Raspberry Piを使いWi-Fi 6Eに対応した「WiFiプロトコル・アナライザ V2」の販売を開始した。 同製品はRaspberry Pi 4 Model B、Netgear製Wi-Fi 6E対応USBアダプターを使用したWi-Fiプロトコルアナライザーだ。対応するWi-FiプロトコルはIEEE 802.11a/b/g/n/ac/axで、2.4GHz、5GHz、6GHzに対応している。6GHzはCh1(5955MHz)からCh93(6415MHz)までの20MHzのモニターが可能だ。ソフトウェアにはWiresharkを採用しており、電波干渉調査や故障対応、性能確認などに幅広く利用できる。 価格は6万6000円だ。またオプションとして、取得したWiresharkのパケットをMicrosoft Power BIを用いて可視化するパケット分析サービスを、1
Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article?
RubyKaigi 2022 https://rubykaigi.org/2022/presentations/coe401_.html#sep09 shioimm / wireshark_with_mruby https://github.com/shioimm/wireshark_with_mruby
表示カラムの変更 デフォルトでは、下記のようなカラム構成です。(No/Time/Source/Destination/Protocol/Length/Info) このカラムをカスタマイズすることができます。 例えば、TCP通信の送信元ポートをカラムに追加するとします。まず、このパケットの詳細より、カラムの追加したいフィールドを選択後、右クリックし、Apply as Column をクリックします。 すると下記のように、カラムが追加されます。 ドラッグアンドドロップで場所の変更もできます。 以降のフィルタ例では、あらかじめ、フィルタ対象のカラムを表示するよう変更しています。 キャプチャデータに対して、キャプチャフィルタの入力スペースに検索条件を入れることで、表示内容をフィルタすることができます。 組み合わせ・除外条件 AND条件( && ) 複数フィルタをAND条件にするには、&& を使
本記事では Windows 環境における netsh コマンドを使用したパケットキャプチャ について解説します。 Windows OS の netsh trace コマンドを使用してパケットキャプチャを行う方法 採取した etl ファイル を Network Monitor を使用して解析する方法 採取した etl ファイルを Wireshark で解析可能な形式に変換して解析する方法 netsh trace コマンドによるパケットキャプチャの採取に関しては、Wireshark 等のソフトをインストールしていない環境でも有効な方法となります。 Linux 環境でのパケットキャプチャに関しては以下の記事を参考にしてください。
Trickster Devより。 HTTPメッセージは、スノーデン後の世界では通常、平文で送信されることはありません。その代わり、HTTPプロトコルに基づく通信の改ざんや監視に対する通信セキュリティを提供するため、TLSプロトコルが使われています。TLS自体は、いくつかのサブプロトコルからなるかなり複雑なプロトコルですが、ここでは、TCP接続上に、公開鍵暗号方式によるサーバ(およびオプションでクライアント)の検証も行う、暗号化と認証レイヤを載せたものと考えてみましょう。 このブログでは以前、モバイルアプリとそのバックエンドシステム間のHTTPS通信を傍受するためのmitmproxyの設定について説明しました。しかし、デスクトップアプリがどのような通信を行っているのかを確認したい場合もあります。さらに、WebアプリのプライベートAPIのリバースエンジニアリングして、Chrome DevToo
自宅でリモートワーク中に自分の通信をWiresharkでキャプチャしていると、実に多くの黒いパケットが発生していたりします。この黒いパケットの正体は、Wiresharkのデフォルトカラーリング設定の"Bad TCP"に分類されたパケットです。 自宅までは光通信となっていて、その先にはWifiルータを設置していて、PCとは無線で接続していますが、とても早くて快適です。遅いとか繋がらないとかいうことは一切感じません。
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
目次 目次 はじめに インターンについて DNSキャッシュポイズニングの概要 検証に使用した環境、手順 ターゲットとなるドメイン マシン一覧(カッコ内はIPアドレス) 手順 Let's パケット解析 おわりに 更新履歴 はじめに こんにちは。株式会社エヌ・エフ・ラボラトリーズ 学生インターンの林です。弊社ではセキュリティトレーニングプラットフォームの開発を行っています。私はプラットフォームのフロントエンド、バックエンドの開発や教育コンテンツの開発に携わっています。 私は大学でネットワークセキュリティに関する授業のティーチングアシスタントをしており、その授業でも触れられているDNSキャッシュポイズニングに関する問題を作問しました。今回は攻撃時に発生するパケットを参照しながらDNSキャッシュポイズニングとはどのような攻撃なのかを解説していきたいと思います。 インターンについて 本題に入る前にイ
SSH 経由でリモートマシンのネットワークキャプチャ wireshark には sshdump というツールがある。 このツールを使うことで GUI がない or GUI で操作しにくいマシンに対して ssh 経由でデータを送信して手元の windows マシンでキャプチャ結果を取得、確認することができる。 リモートマシンと windows マシンは キャプチャの通信で ssh 通信を使用するので ssh 通信はキャプチャフィルタで除外する。 sshdump は標準ではインストールされないので、追加インストールする必要がある。 インストール後に追加でインストールすることもできる。 sshdump によるキャプチャの仕組み タスクマネージャおよび pstree コマンドで確認したプロセスの引数およびプロセスの親子関係からすると以下のような仕組みと考える。 sshdump 経由でリモートマシン
この記事は Wireshark Advent Calendar 2021 第11日目の記事です。 ネットワークスペシャリスト試験受験に備えてコンピュータネットワークをもっと深く理解したいと予てから思っていました。しかし、新人だった頃研修で少しWiresharkを触った経験が有るのと、社外講習会でWiresharkを使ったパケット解析の方法を学ぶ研修に参加した時に操作して以来あまり触れる機会が有りませんでした。そこで2022年春のネットワークスペシャリスト試験に備えるべく、Wiresharkを用いてパケットを解析し、コンピュータネットワークへの理解を深めることにしました。筆者の手元にはWiresharkの書籍が数冊。。。押し入れの肥やしにしてしまうのは勿体ないので、この際活用方法を検討したいと思います。(書籍の画像はAmazon.comより) 1冊目: 実践パケット解析 第3版 チームのリー
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く