现任敦阳科技资安服务处资安顾问经历.ppt

參考書籍 Practical Packet Analysis: Using Wireshark to Solve Real-world Network Problems ISBN: 1593271492 參考書籍 Wireshark Network Analysis ISBN: 1-893939-99-5 Wireshark 認證 Wireshark Certified Network Analyst /certification 即時分析IP來源 MaxMind GeoIP Database /download/geoip/database/ How To Use GeoIP With Wireshark /HowToUseGeoIP Enable GeoIP lookup Specify GeoIP database directories 其他Sniffer工具 Tcpdump Windump Microsoft Network Monitor NetworkMiner RawCap 其他 Flow 處理工具 Windows SplitCap /?page=SplitCap TCP Session Reconstruction Tool /KB/IP/TcpRecon.aspx Unix pcap-util.pl http://www.badpenguin.co.uk/main/content/view/46/1/ tcpflow /~jelson/software/tcpflow/ tcpick / httpry /jason/httpry Tcpreplay / Tcprewrite / 常見網路事件分析 Sample Captures /SampleCaptures 常見網路事件分析 防火牆規則測試 服務無法正常運作 連線緩慢 網路效能測試 IP 衝突 ARP 偽冒 TCP Session Hijacking DDoS 網路迴圈 解析 SSL 封包 NFS 掛載失敗 * 問題與討論 師範大學活用Wireshark分析常見網路事件 大綱 前言 Sniffer 架構 工具介紹 Wireshark 介紹 常見網路事件分析 問題與討論 關於我 OuTian outian@ 現任 敦陽科技 資安服務處 資安顧問 經歷 – 2007/2008/2009 台灣駭客年會講師、發表0day 多次政府、金融、電信、教育、企業單位之滲透測試服務 資安事件處理與蒐證 資安設備規劃與建置 認證 – CEH (Certified Ethical Hacker) Sniffer 架構 Sniffer 運作方式 本機 Tap Mirror/Span Port In-Line sFlow 本機監聽 Tap Tap Mirror/Span Port Mirror In-Line sFlow sFlow Wireshark 介紹 Wireshark / 早期名稱為 ethereal GUI/CLI 界面的封包截取工具 可作為 sniffer 截取封包來分析 亦可作為封包分析軟體 支援許多其他 sniffer 截取的封包檔 Wireshark 支援檔案類型 /FileFormatReference 常見檔案類型 tcpdump/wireshark (libpcap) Microsoft Network Monitor Sun snoop AIX iptrace HP-UX nettl Network Associates Sniffer Pro ….. 下載 /download.html 安裝 Windows 安裝進系統 可攜式版本 Linux yum yum -y install wireshark wireshark-gnome apt apt-get install wireshark urpmi urpmi wireshark tarball 執行 List the available capture interface Show the capture options 內附指令介面工具 tshark 文字界面的 wireshark rawshark 文字界面的封面截取工具 capinfo 顯示封包檔資訊 editcap 編輯封包檔 mergecap 合併封包檔 text2pcap 將文字文件轉為 pcap 封包檔格式 dumpcap 文字界面的封面截取工具 Preferences Captured Follow TCP Stream Follow Stream Filter Field 指定協定、欄位 Relation is present == != = = Value 指定值 Filter Example 列出 arp 封包 a