はじめに
このチャレンジでは、潜在的な脅威を迅速に特定するために、Wireshark のカラム(列)表示をカスタマイズする方法を学びます。具体的には、パケットリストペインに「Source IP」カラムを追加し、ip.src フィールドを表示するように Wireshark を設定します。これにより、HTTP 攻撃の可能性がある際に、即座に脅威を評価できるようになります。
このプロセスでは、Wireshark を起動し、カラムヘッダーを右クリックしてカラム設定(Column Preferences)にアクセスし、タイトルを「Source IP」、フィールド名を ip.src とした新しいカラムを追加します。最後に、新しく追加されたカラムにキャプチャされたパケットの送信元 IP アドレスが正しく表示されていることを確認します。これにより、攻撃者の IP アドレスを迅速に特定することが可能になります。
Wireshark のカラム表示のカスタマイズ
重要なサーバーが HTTP 攻撃を受けている可能性があります。迅速な脅威評価を行うために、送信元 IP を表示するように Wireshark を素早く設定してください。
タスク
- パケットリストペインに、
ip.srcフィールドを表示する「Source IP」カラムを追加してください。 - 元からある「Source」カラムを非表示にしてください。
要件
- Wireshark を開きます。
- パケットリストペインにある既存のカラムヘッダーのいずれかを右クリックします。
Column Preferencesを選択します。- タイトルを
Source IP、フィールド名をip.srcとして新しいカラムを追加します。 - 元の「Source」カラムを非表示にします。
- 新しいカラムに、キャプチャされたパケットの送信元 IP アドレスが表示されていることを確認します。
例
チャレンジ完了後、Wireshark のパケットリストペインには「Source IP」というラベルの新しいカラムが表示され、パケットの送信元 IP アドレスが表示されるはずです。例:
| No. | Time | Source IP | Destination | Protocol | Length | Info |
|---|---|---|---|---|---|---|
| 1 | 0.000000 | 192.168.1.100 | 8.8.8.8 | DNS | 78 | Standard query A google.com |
| 2 | 0.001000 | 8.8.8.8 | 192.168.1.100 | DNS | 94 | Standard query response A 142.250.184.142 |
ヒント
- カラムヘッダーを右クリックすると、カラム設定にアクセスできます。
- カラム設定(Column Preferences)ウィンドウで、「+」ボタンを使用して新しいカラムを追加します。
- 「Field type」は「Custom」に設定する必要があります。
- 「Field name」は、大文字と小文字を区別(Case-sensitive)します。
まとめ
このチャレンジの目的は、送信元 IP アドレスを迅速に表示させることで、潜在的な HTTP 攻撃の特定を支援するように Wireshark のカラム表示をカスタマイズすることでした。これには、Wireshark を開き、カラムヘッダーを右クリックしてカラム設定にアクセスし、フィールド名を ip.src とした「Source IP」というタイトルの新しいカラムを追加する操作が含まれます。
主な学習ポイントは、特定のパケット情報(この場合は脅威評価に不可欠な送信元 IP アドレス)を表示するために Wireshark のインターフェースをカスタマイズする方法です。このカスタマイズにより、関連するデータをパケットリストペインに直接強調表示させることができ、ネットワークトラフィックの効率的な分析が可能になります。
