LabEx
ログイン無料登録

ウェブトラフィックの証拠抽出

WiresharkWiresharkBeginner
今すぐ練習

💡 このチュートリアルは英語版からAIによって翻訳されています。原文を確認するには、 ここをクリックしてください

はじめに

このチャレンジでは、NetDefenders のサイバーセキュリティ研修生として、潜在的なデータ漏洩の調査を行います。インストラクターからネットワークトラフィックのキャプチャファイルが提供されており、あなたのミッションは、法医学(forensic)トレーニングレポートのために、従業員と labex.io 間の通信証拠を抽出することです。

Wireshark を使用して、キャプチャされたネットワークトラフィックをフィルタリングし、"labex" を含む TCP パケットを検索し、TCP ストリームを追跡して完全な会話を調べ、証拠をテキストファイルとして保存します。この実践的な演習は、セキュリティ専門家が不審なウェブ通信を特定し、文書化するために使用する、重要なネットワークフォレンジック(network forensics)技術を実証します。

Skills Graph

%%%%{init: {'theme':'neutral'}}%%%% flowchart RL wireshark(("Wireshark")) -.-> wireshark/WiresharkGroup(["Wireshark"]) wireshark/WiresharkGroup -.-> wireshark/display_filters("Display Filters") wireshark/WiresharkGroup -.-> wireshark/follow_tcp_stream("Follow TCP Stream") wireshark/WiresharkGroup -.-> wireshark/export_packets("Exporting Packets") subgraph Lab Skills wireshark/display_filters -.-> lab-548842{{"ウェブトラフィックの証拠抽出"}} wireshark/follow_tcp_stream -.-> lab-548842{{"ウェブトラフィックの証拠抽出"}} wireshark/export_packets -.-> lab-548842{{"ウェブトラフィックの証拠抽出"}} end

隠されたウェブ会話を明らかにする

NetDefenders のサイバーセキュリティ研修生として、あなたは潜在的なデータ漏洩を調査しています。インストラクターは、従業員が labex.io にアクセスした際のネットワークトラフィックをキャプチャし、法医学(forensic)トレーニングレポートの証拠として、通信の詳細を抽出するようにあなたに割り当てました。

タスク

  • キャプチャされた Wireshark トラフィックをフィルタリングして、labex を含む TCP パケットのみを表示する
  • フィルタリングされたパケットから TCP ストリームを追跡し、プロジェクトフォルダに tcp_evidence.txt として保存する

要件

  1. Wireshark でキャプチャファイル network_evidence.pcapng を開きます。これは /home/labex/project ディレクトリにあります。
  2. 表示フィルタを使用して、コンテンツに "labex" を含む TCP パケットのみを表示します。
  3. フィルタリングされたパケットのいずれかを選択し、Wireshark の "Follow TCP Stream" 機能を使用して、会話全体を表示します。
  4. TCP ストリームのコンテンツを /home/labex/project ディレクトリに tcp_evidence.txt という名前のファイルとして保存します。
  5. 保存されたファイルには、システムと labex.io 間の完全な TCP ストリームデータが含まれている必要があります。

正しいフィルタを適用すると、Wireshark の表示は次のようになります。

Wireshark filter

TCP ストリームを追跡すると、会話データを示すウィンドウが表示されます。保存されたファイルにはこのデータが含まれ、TLS ハンドシェイク情報や暗号化された HTTPS トラフィックが含まれる場合があります。

ヒント

  • 特定のテキストを含む TCP パケットをフィルタリングするには、tcp contains "text" の形式を使用します。
  • パケットを右クリックし、"Follow" > "TCP Stream" を選択して、会話全体を表示します。
  • "Follow TCP Stream" ウィンドウで、"Save As" ボタンをクリックしてストリームデータを保存します。
  • 指定されたディレクトリに、必要な名前でファイルを正確に保存してください。
  • 保存ダイアログのデフォルトの場所が異なる場合があるため、保存する前に /home/labex/project に移動してください。
✨ 解答を確認して練習

まとめ

このチャレンジでは、Wireshark を使用してネットワークフォレンジック(network forensics)タスクを実行し、キャプチャされたパケットファイルからウェブトラフィックの証拠を抽出しました。調査では、システムと labex.io 間の通信を調べ、潜在的なデータ漏洩を文書化することに焦点を当てました。これには、コンテンツに "labex" を含む関連する TCP パケットを分離するために、特定の表示フィルタを適用する必要がありました。

このプロセスには、ネットワークキャプチャファイルを開き、トラフィックをフィルタリングし、TCP ストリームを追跡して完全な通信を表示し、証拠をテキストファイルとして保存することが含まれていました。これらの技術は、ネットワークフォレンジック調査を実施し、セキュリティインシデントレポートの証拠を準備するサイバーセキュリティ専門家にとって不可欠なスキルを表しています。

関連 Wireshark コース
Wireshark のクイックスタート

Wireshark のクイックスタート

Cybersecurity
初級