パケット解析時のメモ

自分がパケットを解析するときのメモ.

全体の把握

Statistics - Endpoints

• パケット内に含まれるホストを把握する
  • MACアドレスとIPアドレスの把握
  • どこと通信しているかある程度把握
• パケットを多く/少なく投げているのはどのホストか
  • Packetsタブで降順/昇順でフィルタ
  • TCPタブでポートとパケット数なども確認

Statistics - Show address resolution

• IPアドレスとドメインのひも付けを確認
• 怪しいドメインはないか?
  • db-ip.comなどでホストがどこの国か, また, whois情報などから情報を収集
  • virustotalやurlqueryなどのオンラインスキャナーを使用する

VirusTotal - Free Online Virus, Malware and URL Scanner

urlquery.net - Free URL scanner

Statistics - Protocol Hierarchy

• パケット内に含まれるプロトコルとその含有率を確認

Statistics - Conversations

• セッションごとにどのポートからどのポートに, どれだけ通信をしているかを確認

Statistics - IO Graph

• いつごろ通信量が増えたか
  • グラフをクリックするとそのあたりのパケットまで移動する
  • 気になるホストなどでフィルタをかけ, 色付けするとわかりやすい

Filterの活用

• 気になるホスト, ポートなどでフィルタ
  • tcp contains "cmd" や tcp contains "MZ" などでフィルタ

ファイルの抽出

File - Export Objects

• HTTPやsmbなどからファイルを抽出
• 抽出したファイルをオンラインのマルウェアスキャナーやサンドボックスでスキャン