Ogagaga Diary

■ Hokkaido.cap #3

今日も参加してきたので簡単なメモを残しておく。

ハッシュタグ：#docap

自己紹介

• 今日はこいわさんがいなかったので普通の自己紹介をしてみた

ケーススタディ 基礎編

• TCP の通信障害 tcp-con-lost.pcap
  • おかしいぱけっとは行が黒で表示されるので、この黒い部分に注目するとよい。

• 届かないパケット destunreachable.pcap
  • なんかやまきさんのみていたファイルと違うっぽい？　Type 3がなかった

• IP フラグメンテーション ipfragments.pcap
  • Ethernet で 1回に送信できるパケットサイズ 1,500 byte

• 接続不能 barryscomputer.pcap, bethscomputer.pcap

• FTP サーバとの通信 ftpclientdenied.pcap, ftpserverdenied.pcap
  • サービスが稼働していない
  • 意図的にブロックされている

• HTTP 403 Forbidden http-fault-post.pcap
  • 社内ネットワーク側かサーバー側かの判断をする

• 悪魔のプログラム evilprogram.pcap
  • スパイウェアに感染した！
  • ポートスキャンっぽい
  • 正常な通信をフィルタする → WireShark の Fileter 機能を使う
  • DCERPC リモートからのプログラム実行

bkinst.exe をダウンロードしている。

このケースではバックグラウンドで稼働しているRPCサービスを利用して スパイウェアをダウンロードして実行していた。

CTP

コンピュータに関する知識を競うゲーム Packet Madness : パケット解析 CTF01.pcap のファイルの解析が問題でした。

とりあえずMacでの右クリックの方法がわからなかったので、 ほぼ何もできないでいたw 怪しそうな箇所の検討はつけていたのだけどねw

で、Mac版の WireShark の右クリックは（マウスない場合） 以下の操作でできます。

タッチパッド に指２本置いて、左をクリックすると表示できる。

CFP 回答

• EUCの文字コード
• のパターンが３つあるので、
• それを全置換することで求める。

"赤い彗星" シャァ・アズナブル

LT SIN さん

• WinPcap + C#

今のところ欠席していないので皆勤賞を目指してみよう！