2011/10/12 SynAck Capture Nite 2011 にお邪魔してきました

SynAck Capture Nite 2011 にお邪魔してきました

ネットワークパケットを読む会(仮)にお邪魔した縁でこの勉強会を知り、お邪魔してきました。だ~いぶ背伸びでしたが・・・。

正直なところ、内容には満足なんですが同時に自分の力の及ばなさを思い知らされます。
はい、副作用ですね。頑張ってすこしでも追いかけましょう。


一つ目のセッションは、実質的にスポンサーのネットエージェント杉浦社長による「永続的パケットキャプチャノススメ」。

普通はトラブルシュートのときなどしかパケットキャプチャしないだろうけど、普段からキャプチャし続けていればいろいろ得るものがあるというお話でした。たとえば、Webで見えてる画像ファイルに見えてる画像以外の情報が含まれているのがわかったり、著名なサービスの裏側が伺えたり。

「なるほど!」と目からうろこでした。
反面、いざ実行しようとするといろいろ大変そうです。

まず、Wiresharkだとメモリの分しか取れないのでとり続けることができません。
そこで紹介があったのが Packet Black Hole

Windowsにインストールして、そのノードのパケットを取得できる無償版 PacketBlackHole Probe があるそうです。試してみようと思います。

他に挙げられていたのが、記録用のHDDの問題です。
GigabitNWのほうがHDDよりも速いから記録が追い付かなくなってしまいます。
SSDを使うという手もありますが、容量、単価、書き換え寿命のいずれの点でも不利になってしまいます。
この点については、「これがベスト!」という明快な解は無く、ケースバイケースでご予算と目的に合わせて選ぶしかなさそうです。

この点でアドバイスがあったのが2つ、HDDなら7200rpmモノを選ぶべしということと、HDDクレードルが便利だということでした。ただし、HDDクレードルのPCとの接続規格も気にしないといけないようです。たしかにCenturyのページを見てみると、USB2.0対応もの、USB3.0+eSATA対応のものなどいろいろありますね。


さて、実際にキャプチャするだけだと、Diskを消費するだけです。
解析して何らかの価値がある情報を取り出さないと無意味です。

この点については一から十までといった丁寧な解説はなく、いくつかの軽いアドバイスだけでした。
たとえば、Flash動画はFLVという文字で始まるとか、Webサーバの応答に含まれるMIMEタイプの情報が参考になるとか。

解析を代行するクラウドサービスのご紹介もありましたが、「ここから試行錯誤するのが楽しいし、力になるんだよ」と言われてるような感じも受けました。


それと、tshark というツールがあるのをこのセッションで知りました。
wiresharkのテキスト版みたいですが・・・。調べてみようと思います。


あとは、Android端末の通信をキャプチャして、マーケットからアプリをダウンロードするパケットからアプリのバイナリを取り出してソースコードまで復元するデモもありました。
理屈として不可能ではないだろうということはわかるけど、いざ実行するとなると・・・説明を聞いてもしんどいです。

先は長いなぁ。


もう一つのセッションは、 @ghetto2199 さんによる「DEFCON CTFで戦ったパケットを見て攻撃を解析」でしたが・・・
ネタがネタだけに書きにくい・・・ので、書きません、ごめんなさい。


最後になりましたが、会場提供してくださったネットエージェントさん、運営されたまっちゃさんへびくずれさん、ありがとうございました。
次回&ネットワークパケットを読む会も楽しみにしております。

# それまでに少しでも追いかけねば・・・。


amazon.co.jpで買う
Amazonアソシエイト by 実践 パケット解析 ―Wiresharkを使ったトラブルシューティング の詳しい情報を見る / ウェブリブログ商品ポータル




amazon.co.jpで買う
Amazonアソシエイト by Hacking: 美しき策謀 第2版 ―脆弱性攻撃の理論と実際 の詳しい情報を見る / ウェブリブログ商品ポータル


この記事へのコメント

この記事へのトラックバック

  • プラダ アウトレット

    Excerpt: 2011/10/12 SynAck Capture Nite 2011 にお邪魔してきました th0x0472.log/ウェブリブログ Weblog: プラダ アウトレット racked: 2013-07-06 14:15