パケット解析時のメモ
自分がパケットを解析するときのメモ.
全体の把握
Statistics - Endpoints
- パケット内に含まれるホストを把握する
- パケットを多く/少なく投げているのはどのホストか
Packets
タブで降順/昇順でフィルタTCP
タブでポートとパケット数なども確認
Statistics - Show address resolution
- IPアドレスとドメインのひも付けを確認
- 怪しいドメインはないか?
- db-ip.comなどでホストがどこの国か, また, whois情報などから情報を収集
- virustotalやurlqueryなどのオンラインスキャナーを使用する
VirusTotal - Free Online Virus, Malware and URL Scanner
urlquery.net - Free URL scanner
Statistics - Protocol Hierarchy
- パケット内に含まれるプロトコルとその含有率を確認
Statistics - Conversations
- セッションごとにどのポートからどのポートに, どれだけ通信をしているかを確認
Statistics - IO Graph
- いつごろ通信量が増えたか
- グラフをクリックするとそのあたりのパケットまで移動する
- 気になるホストなどでフィルタをかけ, 色付けするとわかりやすい
Filterの活用
- 気になるホスト, ポートなどでフィルタ
tcp contains "cmd"
やtcp contains "MZ"
などでフィルタ