アクティビティの概要

セキュリティ アナリストとして、ネットワーク トラフィックを分析して、ネットワーク上のシステム間でどのようなトラフィックが送受信されているのかを知る必要があります。

これまでに、パケット キャプチャと分析について学びました。パケットの分析は、セキュリティ チームがネットワーク通信を解釈し理解する際に役立ちます。Wireshark のようなネットワーク プロトコル アナライザは、グラフィカル ユーザー インターフェース（GUI）を備えており、調査時に使用するとパケットデータを調べやすくなります。ネットワーク パケットデータは複雑です。そのため、Wireshark のようなネットワーク プロトコル アナライザ（パケット スニファ）は、パターンを見つけたりデータをフィルタして、セキュリティ調査に最も関連性の高いネットワーク トラフィックに注目できるように作られています。

今回は、Wireshark を使用してパケットデータを検査し、フィルタを適用してパケット情報を効率的に調べます。

このラボのアクティビティでは、Wireshark を使用してサンプルのパケット キャプチャ ファイルを調べ、ネットワーク トラフィック データをフィルタします。

シナリオ

このシナリオでは、セキュリティ アナリストとしてウェブサイトのトラフィックを調査します。

インターネット サイトに接続しているユーザーに関連したトラフィック データが含まれる、ネットワーク パケット キャプチャ ファイルを分析します。パケット スニファを使用してネットワーク トラフィックをフィルタする能力は、セキュリティ アナリストとして不可欠なスキルです。

以下の目的でデータをフィルタする必要があります。

• ウェブ ブラウジング セッションに関係する送信元と宛先の IP アドレスを特定する
• ユーザーがウェブサイトに接続するときに使用するプロトコルを調べる
• データパケットの一部を分析して、ネットワーク データのキャプチャ時に相互接続していたシステムで送受信された情報の種類を特定する

方法は次のとおりです。まず、パケット キャプチャ ファイルを開き、Wireshark の基本的なグラフィカル ユーザー インターフェースの詳細を確認します。次に、1 つのパケットの詳細ビューを開き、ネットワーク パケット内のさまざまなプロトコル レイヤとデータレイヤを調べる方法について確認します。その後、フィルタを適用して、特定の条件に基づいてパケットを選択し、精査します。そして、UDP DNS トラフィックをフィルタして精査し、プロトコル データについて調べます。最後に、TCP パケットデータにフィルタを適用して、具体的なペイロード テキストデータを検索します。

それでは、Wireshark を使用してネットワーク パケット データを検査してみましょう。

免責条項: パフォーマンスと互換性を確保するため、ラボにアクセスする際は Google Chrome または Mozilla Firefox ブラウザを使用することをおすすめします。

ラボを開始する

資料にアクセスするには、まずラボを開始する必要があります。ラボを開始するには、画面上部にある緑色の [ラボを開始] ボタンをクリックします。

[ラボを開始] ボタンをクリックすると、そのボタンの下に、[Windows VM を開く] というボタンがあるパネルが表示されます。

[Windows VM を開く] ボタンをクリックすると、新しいタブが開き、Windows OS のビジュアル インターフェースが表示されます。ラボの以降のステップはここで進めます。Windows のビジュアル インターフェースは次のように表示されます。

注: Windows VM が応答しなくなり、自動的に切断された場合は、次の手順で再接続できます。

1. ラボのページに戻り、再度 [Windows VM を開く] をクリックしてください。これで同じ Windows VM に再接続できます。
2. ログインページでは次の認証情報を入力し、その他の欄はそのままにしておきます。

サーバー	localhost
ユーザー名	qwiklabs
パスワード

タスク 1. Wireshark を使用してデータの詳細を確認する

このタスクでは、あるサイトにウェブ リクエストを行ったシステムからキャプチャされたデータが含まれる、ネットワーク パケット キャプチャ ファイルを開く必要があります。このデータを Wireshark で開き、どのように表示されるのかを大まかに把握します。

1. パケット キャプチャ ファイルを開くには、Windows デスクトップのサンプル ファイルをダブルクリックします。これにより、Wireshark が起動します。

このパケット キャプチャ ファイルには、3 行の 2 進数の上に泳いでいるサメのヒレが描かれた Wireshark パケット キャプチャ ファイル アイコンが表示されます。パケット キャプチャ ファイルの拡張子は .pcap であり、Windows Explorer やデスクトップ ビューではデフォルトで非表示になっています。

注: Wireshark の新しいバージョンが入手可能であることを知らせる Software Update ダイアログ ボックスが表示されることがあります。その場合、[Skip this version] をクリックします。

2. sample.pcap というファイル名の横にある Wireshark のタイトルバーをダブルクリックして、Wireshark アプリケーション ウィンドウを最大化します。

ネットワーク パケット トラフィックが多数リストされているため、この後のステップでは、フィルタを適用して必要な情報を探します。

以下に、パケットごとにリストされる主なプロパティ列の概要を示します。

• No. : このパケット キャプチャ ファイル内のパケットのインデックス番号
• Time: パケットのタイムスタンプ
• Source: 送信元 IP アドレス
• Destination: 宛先 IP アドレス
• Protocol: パケットに含まれるプロトコル
• Length: パケットの全長
• Info: Wireshark が解釈するパケット内のデータ（ペイロード）に関する情報

すべてのデータパケットが同じ色というわけではありません。色付けルールで大まかに視覚的な手がかりを適用すると、種々のデータを素早く分類できます。ネットワーク パケット キャプチャ ファイルに大量のデータが含まれることがあるため、色付けルールを使用することで、関連するデータを素早く特定できます。このパケット例では、水色のパケットのグループ（すべてに DNS トラフィックが含まれている）に続いて、緑色のパケット（TCP と HTTP のプロトコル トラフィックが混在している）が表示されています。

3. パケットリストを下にスクロールし、Info 列が「Echo (ping) request」という単語で始まるパケットのところまで進みます。

タスク 2. Wireshark の基本的なフィルタを適用してパケットを精査する

このタスクでは、詳しく調べるために Wireshark でパケットを開き、データをフィルタしてパケットに含まれるネットワーク レイヤとプロトコルを精査します。

1. 特定の IP アドレスに関連付けられたトラフィックについて、以下のフィルタを入力します。パケットリストのすぐ上にある [Apply a display filter...] テキスト ボックスに以下のように入力します。

ip.addr == 142.250.1.139

2. ENTER キーを押すか、フィルタ テキスト ボックスの [Apply display filter] アイコンをクリックします。

表示されるパケットリストが大幅に小さくなり、送信元または宛先 IP アドレスが入力したアドレスに一致するパケットのみが含まれるようになりました。パケットの色は 2 種類だけになりました。ICMP プロトコルのパケットは薄ピンク色、TCP（および TCP のサブセットである HTTP）のパケットは薄緑色です。

3. プロトコルが TCP となっている最初のパケットをダブルクリックします。

パケット詳細ペインのウィンドウが開きます。

このウィンドウの上側には、Wireshark がネットワーク パケットのさまざまな部分の分析を提供するサブツリーが表示されます。ウィンドウの下側には、パケットの元データが 16 進数と ASCII テキストで表示されます。また、文字データが適用されないフィールドには、プレースホルダ テキストがドット（「.」）で示されます。

注: 詳細ペインは、Wireshark のメイン ウィンドウの下部に表示されます。また、また、パケットをダブルクリックすると新しいウィンドウでアクセスできます。

4. 上側にある最初のサブツリーをダブルクリックします。Frame という単語で始まっています。

ここで、フレーム長やパケットの到着時間など、全体的なネットワーク パケット（フレーム）の詳細がわかります。このレベルでは、データのパケット全体の情報が表示されます。

5. [Frame] サブツリーをもう一度ダブルクリックして閉じ、[Ethernet II] サブツリーをダブルクリックします。

この項目には、送信元と宛先の MAC アドレス、イーサネット パケットに含まれる内部プロトコルのタイプなど、イーサネット レベルでのパケットの詳細が表示されます。

6. [Ethernet II] サブツリーをもう一度ダブルクリックして閉じ、[Internet Protocol Version 4] サブツリーをダブルクリックします。

イーサネット パケットに含まれるインターネット プロトコル（IP）データに関するパケットデータが表示されます。送信元と宛先の IP アドレスや、内部プロトコル（例: TCP、UDP）など、IP パケット内で運ばれる情報が含まれます。

注: Internet Protocol Version 4 サブツリーはインターネット プロトコル バージョン 4（IPv4）です。3 つ目のサブツリー ラベルがプロトコルを反映しています。

ここに表示される送信元と宛先の IP アドレスは、Wireshark のメイン ウィンドウに表示される、このパケットに関する概要表示の送信元と宛先の IP アドレスに一致します。

7. [Internet Protocol Version 4] サブツリーをもう一度ダブルクリックして閉じ、[Transmission Control Protocol] サブツリーをダブルクリックします。

送信元と宛先の TCP ポート、TCP シーケンス番号、TCP フラグなど、TCP パケットの詳細情報が表示されます。

ここに表示される送信元ポートと宛先ポートは、Wireshark のメイン ウィンドウに表示される全パケットのリストで、このパケットに関する概要表示の [Info] 列にある送信元と宛先のポートと一致します。

8. [Transmission Control Protocol] サブツリーを下にスクロールして [Flags] をダブルクリックします。

このパケットに設定されている TCP フラグの詳細が表示されます。

9. [X] アイコンをクリックして、詳細なパケット検査ウィンドウを閉じます。

10. Wireshark フィルタバーの [X Clear display filter] アイコンをクリックして、IP アドレス フィルタを消去します。

再びすべてのパケットが表示されました。

Wireshark アプリケーションを誤って閉じた場合は、デスクトップの sample ファイルをダブルクリックするともう一度開くことができます。

タスク 3. フィルタを使用してパケットを選択する

このタスクでは、フィルタを使用し、パケットの送信元または宛先に基づいて特定のネットワーク パケットを分析します。物理的なイーサネットのメディア アクセス制御（MAC）アドレスまたはインターネット プロトコル（IP）アドレスを使用してパケットを選択する方法を確認します。

1. 以下のフィルタを入力し、特定の送信元 IP アドレスのトラフィックのみを選択します。パケットリストのすぐ上にある [Apply a display filter...] テキスト ボックスに以下のように入力します。

ip.src == 142.250.1.139

2. ENTER キーを押すか、フィルタ テキスト ボックスの [Apply display filter] アイコンをクリックします。

エントリが以前より少ない、フィルタされたリストが返されます。142.250.1.139 から来たパケットのみが含まれています。

3. Wireshark フィルタバーの [X Clear display filter] アイコンをクリックして、IP アドレス フィルタを消去します。

4. 以下のフィルタを入力し、特定の宛先 IP アドレスのトラフィックのみを選択します。

ip.dst == 142.250.1.139

5. ENTER キーを押すか、フィルタ テキスト ボックスの [Apply display filter] アイコンをクリックします。

フィルタされたリストが返され、142.250.1.139 へ送信されたパケットのみが含まれています。

6. Wireshark フィルタバーの [X Clear display filter] アイコンをクリックして、IP アドレス フィルタを消去します。

7. 以下のフィルタを入力し、具体的なイーサネット MAC アドレスとの間のトラフィックを選択します。これにより、関係する他のプロトコルにかかわらず、ある MAC アドレスに関連するトラフィックをフィルタします。

eth.addr == 42:01:ac:15:e0:02

8. ENTER キーを押すか、フィルタ テキスト ボックスの [Apply display filter] アイコンをクリックします。

9. リストの最初のパケットをダブルクリックします。フィルタされたリストの最初のパケットが表示されていない場合は、スクロールして戻ります。

10. [Ethernet II] サブツリーをダブルクリックします（まだ開いていない場合）。

フィルタで指定した MAC アドレスが、開いた Ethernet II サブツリーに送信元または宛先アドレスとしてリストされています。

11. [Ethernet II] サブツリーをダブルクリックして閉じます。

12. [Internet Protocol Version 4] サブツリーをダブルクリックして開き、[Time to Live] フィールドと [Protocol] フィールドが表示されるまで下にスクロールします。

どの IP 内部プロトコルがパケットに含まれているのかが、[Internet Protocol Version 4] サブツリーの [Protocol] フィールドに表示されます。

13. [X] アイコンをクリックして、詳細なパケット検査ウィンドウを閉じます。

14. Wireshark フィルタバーの [X Clear display filter] アイコンをクリックして、MAC アドレス フィルタを消去します。

タスク 4. フィルタを使用して DNS パケットの詳細を確認する

このタスクでは、フィルタを使用して DNS トラフィックを選択し、詳細を確認します。サンプル DNS トラフィックを選択したら、プロトコルの詳細を掘り下げて、DNS パケットデータにクエリ（検索するインターネット サイトの名前）とその応答（名前が正常に解決したとき DNS サーバーから返される IP アドレス）がどのように含まれているかを確認します。

1. 以下のフィルタを入力し、UDP ポート 53 のトラフィックを選択します。DNS トラフィックは UDP ポート 53 を使用するため、DNS のクエリとレスポンスに関連するトラフィックのみがリストされます。パケットリストのすぐ上にある [Apply a display filter...] テキスト ボックスに以下のように入力します。

udp.port == 53

2. ENTER キーを押すか、フィルタ テキスト ボックスの [Apply display filter] アイコンをクリックします。

3. リストの最初のパケットをダブルクリックして、詳細なパケット ウィンドウを開きます。

4. 下にスクロールし、[Domain Name System (query)] サブツリーをダブルクリックして開きます。

5. 下にスクロールして [Queries] をダブルクリックします。

クエリしたウェブサイトの名前が opensource.google.com だとわかります。

6. [X] アイコンをクリックして、詳細なパケット検査ウィンドウを閉じます。

7. リストの 4 つ目のパケットをダブルクリックして、詳細なパケット ウィンドウを開きます。

8. 下にスクロールし、[Domain Name System (query)] サブツリーをダブルクリックして開きます。

9. 下にスクロールし、[Domain Name System (query)] サブツリー内の [Answers] をダブルクリックします。

[Answers] のデータには、クエリした名前（opensource.google.com）と、その名前に関連付けられているアドレスが含まれます。

10. [X] アイコンをクリックして、詳細なパケット検査ウィンドウを閉じます。

11. Wireshark フィルタバーの [X Clear display filter] アイコンをクリックして、フィルタを消去します。

タスク 5. フィルタを使用して TCP パケットの詳細を確認する

このタスクでは、さらにフィルタを使用して TCP パケットを選択し、詳細を確認します。ネットワーク パケット内のペイロード データに存在するテキストの検索方法を学びます。名前や関心のある他のテキストなどに基づいてパケットを探します。

1. 以下のフィルタを入力し、TCP ポート 80 のトラフィックを選択します。TCP ポート 80 は、ウェブ トラフィックに関連するデフォルトのポートです。

tcp.port == 80

2. ENTER キーを押すか、フィルタ テキスト ボックスの [Apply display filter] アイコンをクリックします。

ユーザーがウェブページ http://opensource.google.com にアクセスしたとき、かなりのパケットが作成されていました。

3. リストの最初のパケットをダブルクリックします。このパケットの [Destination]（宛先）IP アドレスは 169.254.169.254 です。

4. [X] アイコンをクリックして、詳細なパケット検査ウィンドウを閉じます。

5. Wireshark フィルタバーの [X Clear display filter] アイコンをクリックして、フィルタを消去します。

6. 以下のフィルタを入力し、特定のテキストデータを含む TCP パケットデータを選択します。

tcp contains "curl"

7. ENTER キーを押すか、フィルタ テキスト ボックスの [Apply display filter] アイコンをクリックします。

フィルタが適用されると、サンプルのパケット キャプチャ ファイルで、curl コマンドを使用して行ったウェブ リクエストを含むパケットに絞り込まれます。

まとめ

おつかれさまでした。

これで、以下のような Wireshark を使用する実践的な経験を積むことができました。

• 保存したパケット キャプチャ ファイルを開く
• パケットデータの概要を表示する
• フィルタを使用して詳細なパケットデータを精査する

これは、ネットワーク パケット分析ツールを使用してネットワーク トラフィックの詳細を確認する方法を理解するうえで、重要なマイルストーンになります。

ラボを終了する

すべてのタスクが問題なく完了したことを確認してから、以下の手順に沿ってラボを終了してください。

1. [ラボを終了] をクリックし、[送信] をクリックします。ラボを終了すると、Bash シェルへのアクセス権が削除され、完了した作業にもう一度アクセスすることはできなくなります。
2. ラボを終了するとアンケート ダイアログが表示され、適宜、ラボを評価したり、フィードバック コメントを記入したりできます。
3. ラボのブラウザタブを閉じてコースに戻ります。
4. 完了してからコースのブラウザタブを更新すると、この項目が完了としてマークされます。