はまやんはまやんはまやん

hamayanhamayan's blog

CTFのフォレンジックにおけるネットワークフォレンジックまとめ [Wireshark, pcap]

親記事 → CTFにおけるフォレンジック入門とまとめ - はまやんはまやんはまやん

ネットワークフォレンジック

  • ネットワークのパケットログに対してフォレンジックを行う
    • ネットワークに関する基礎知識やプロトコルの知識が必要
  • Wiresharkというツールを使って解析する。cap, pcap, pcapngファイルが扱える
    • WiresharkではUSB通信やBluetoothのログも取れるので、それを解析する問題も出ることがある

Wireshark

  • パケットを右クリックすると使える「追跡」機能は無茶苦茶便利
    • Follow TCP Stream
  • 解析の初手として統計/分析情報も使える。特に以下2つが初手眺めるのに良い
    • Protocol Hierarchy : 利用されているプロトコルの統計を知りたい
    • Endpoints : どのような端末が通信しているかの統計を知りたい
      • とある端末で採取しているので最も多いendpointは自分(被害端末)が多い。次に多いのが攻撃端末かも
  • フィルタもIP絞り込みとかさっと行えるといい
    • httpでhttp通信に絞れる
    • (ip.src == 192.168.100.103) || (ip.dst == 192.168.100.103)とか便利
  • 後は雑に探したいときは文字列検索も可能(Ctrl+F)
  • 通信されているファイルを抜き出したいときはファイル/オブジェクトをエクスポート/????で取る
    • 破損したpcapファイルの修復 PCAP ファイルの修復 - CTF Wiki
    • コマンドで色々処理したい場合はtsharkが使える
    • pythonで弄りたいときはimport dpkt
    • snortルール: ネットワークパケットに対して適用可能なルール

TCP/UDP通信

  • TCP通信 -> Follow TCP Streamで通信を盗み見る
    • HTTP
      • C2通信とか、怪しいサイトのアクセスが記録されているかもしれない
    • FTP
    • SMTP
    • ほんとに色々...
    • HTTPS通信はPEM形式でRSA秘密鍵が手に入っていれば復元可能
  • UDP通信
    • DNS -> 名前解決されるドメインを確認。OOB抽出を疑ってみる

ICMP通信

  • ICMPでDNSのOOB抽出っぽくやってる問題しか見たことない

無線通信 IEEE 802.11

  • 「無線 > 無線LAN統計」で通信元の一覧が見れる
  • Wiresharkで無線LAN(802.11)のデータを見てみよう! - シアトル生活はじめました
    • 802.11のパケットの種類は大まかに三種類ある wlan.fc.type == 0でフィルタ
      • Management frames: APと接続したり切断したり認証したり・・ (0)
      • Control frames: 他のフレームを運ぶため。ヘッダーしかない (1)
      • Data frames: 実際にデータを含むパケット (2)
    • wlan.fc.subtypeでサブタイプもある
    • Wireshark 802.11 Display Filter Field Reference」が良い資料になる
    • wlan.ra == 88-00-00-00-00-00で特定の送り先(元?)に限定する
  • 「統計 > フローグラフ」がすごい使えそう

USB, Bluetooth