はじめに#
今回はIPアドレスとは、プロトコルとは、TCP/UDPとは、ということをWiresharkというパケットキャプチャツールを通して学べる章になります。
The Grinch Really Did Steal Christmas#
Open “pcap1.pcap” in Wireshark. What is the IP address that initiates an ICMP/ping?#
Wiresharkで「pcap1.pcap」を開いてみてください。ICMP/pingを開始するIPアドレスは何ですか?
WiresharkからICMPパケットを送信しているIPアドレスを回答して終わりです。 Wiresharkでは、ある特定のプロトコルのみを表示させたい場合は、画面上部の「表示フィルター」でプロトコル名を指定してあげることで、それ以外のパケットを非表示にすることができます。
If we only wanted to see HTTP GET requests in our “pcap1.pcap” file, what filter would we use?#
「pcap1.pcap」ファイルにHTTP GETリクエストだけを表示させたい場合、どのようなフィルタを使用すればよいのでしょうか?
Wiresharkの検索フィルタについてです。 httpプロトコルのGETのみ表示させたいため、以下のようにフィルタリングしてあげます。
http.request.method == GETNow apply this filter to “pcap1.pcap” in Wireshark, what is the name of the article that the IP address “10.10.67.199” visited?#
では、このフィルターをWiresharkの「pcap1.pcap」に適用すると、IPアドレス「10.10.67.199」が訪れた記事名は何でしょうか。
先程のフィルターを適用し、パケットの中身を確認します。 Webアプリケーションを作成したことがある方などはURLから推測することができると思います。
Let’s begin analysing “pcap2.pcap”. Look at the captured FTP traffic; what password was leaked during the login process?#
では、「pcap2.pcap」の解析を始めてみましょう。キャプチャされたFTPトラフィックを見てください。ログインプロセスでどのようなパスワードが漏れたのでしょうか?
Wiresharkでpcap2.pcapを開いて、FPTトラフィックをフィルタリングしてみます。
眺めていると、Login incorrectなどと今回の問題に関連しそうなワードが見つかると思いますので、その前後を確認することでflagをゲットできます。
Continuing with our analysis of “pcap2.pcap”, what is the name of the protocol that is encrypted?#
「pcap2.pcap」の解析の続きですが、暗号化されているプロトコルの名前は何でしょうか?
プロトコルの基本的な問題です。 pcap2の後半ではsshで通信していることが見て取れます。
Analyse “pcap3.pcap” and recover Christmas! What is on Elf McSkidy’s wishlist that will be used to replace Elf McEager?#
「pcap3.pcap」を解析してクリスマスを取り戻せ!?Elf MacEagerの代わりとなる、Elf McSkidyのウィッシュリストには何があるのか?
パケットを見ていると、httpリクエストで/christmas.zipというパケットが見つかると思います。
こちらにあたりをつけ、christmas.zipをなんとか取得しようと試みます。
Wiresharkでは、オブジェクトのエクスポート機能があるためそちらを使用します。
上記の画像のように、HTTPを選択することでchristmas.zipを取得できました。
こちらのzipファイルを解凍し、flagをゲットします。
おわりに#
今回はWiresharkを使ってパケットを見ていくことをしました。 基本的なWiresharkの使い方が多かったので、Wiresharkになれていない方にはいい勉強になるかと思います。