前回は、Wiresharkのパケットの色分けについて紹介しました。
大量のパケットデータのなかで気になる情報をみつけるときに非常に便利です。
そこで今回は、全体像がわかるようにいくつか統計機能をつかってみましょう。
エンドポイント(終端)
ネットワーク通信には、すくなくとも2つの機器でデータのやりとりがされます。
またTCP/IP通信には、2つのエンドポイントがあります。
ここで言うエンドポイントとは、ネットワークにつながっている端末の総称です。
たとえば、PC、サーバ、スマホ、タブレットなどがあります。
トラフィックを解析するには、まずネットワーク上のエンドポイントを把握しましょう。
メニューから「統計」-> 「終端」を選択すると、WiresharkのEndpointsダイヤログが表示されます。
エンドポイントのアドレスを選び、特定のIPアドレスの通信だけフィルタして表示させることもできます。
たとえば、IPアドレスを右クリックし、「検索」-> 「選択済み」をクリックしてください。
すると、Wiresharkの表示フィルタに、ip.addr==IPアドレスがセットされ、特定のIPアドレスとの通信が検索されます。
対話
メニューから「統計」-> 「対話」を選択すると、WiresharkのConversationsダイヤログが表示されます。
Address AとAddress Bという形で、プロトコルごとに表示されます。
IPv4タブを選び、バイト順にソートすると、通信量の多い機器も簡単にみつけることができます。
また、WHOIS検索をかければ、このIPアドレスがどこからかきているかもわかります。
たとえば、中国からアクセスがあり、どんなアクセスか調べるには、上記のリストから対象を右クリックし、「検索」、A<->Bを選びます。すると、AとBの通信パケット情報が表示されます。
ProtocolにSSHv2が表示され、Elliptic Curve Diffie-Hellman Key Echangeという暗号を利用して接続(不正アクセス?)を試みていることがわかります。
さらに、該当のIPアドレスのaudit.logを確認すると、何度も接続を試みて、失敗していることが確認できます。
./audit/audit.log.4:type=USER_LOGIN msg=audit(1623319439.381:195393): pid=198950 uid=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:sshd_t:s0-s0:c0.c1023 msg='op=login acct="(unknown)" exe="/usr/sbin/sshd" hostname=? addr=222.187.232.205 terminal=ssh res=failed'UID="root" AUID="unset"
./audit/audit.log.4:type=USER_LOGIN msg=audit(1623327538.526:207529): pid=206644 uid=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:sshd_t:s0-s0:c0.c1023 msg='op=login acct="(unknown)" exe="/usr/sbin/sshd" hostname=? addr=222.187.232.205 terminal=ssh res=failed'UID="root" AUID="unset"
./audit/audit.log.1:type=USER_LOGIN msg=audit(1623372348.805:257898): pid=251865 uid=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:sshd_t:s0-s0:c0.c1023 msg='op=login acct="(unknown)" exe="/usr/sbin/sshd" hostname=? addr=222.187.232.205 terminal=ssh res=failed'UID="root" AUID="unset"
プロトコル階層
大量のキャプチャデータを解析するとき、各プロトコルの割合なども役に立つことがあります。
メニューから「統計」-> 「プロトコル階層」を選択すると、Wiresharkのプロトコル階層統計ダイヤログが表示されます。
全体像をみると、どのような通信がされているかが、一目でわかります。
まとめ
Wiresharkには統計機能があり、エンドポイント、対話機能をつかうことで、簡単にどのような通信がされているかがわかります。
また、プロトコル階層の情報をみると、各プロトコルの割合も一目でわかり、便利です。
パケット解析については、10話のシリーズで紹介していますので、もしよかったら、他のページもご覧になってください。
コメント