はじめに
このチャレンジでは、あなたは NetDefenders 社のサイバーセキュリティ研修生として、潜在的なデータ漏洩の調査を担当します。指導教官からネットワークトラフィックのキャプチャファイルが提供されました。あなたの任務は、フォレンジックトレーニング報告書のために、従業員と labex.io の間の通信証拠を抽出することです。
Wireshark を使用して、"labex" という文字列を含む TCP パケットをフィルタリングし、TCP ストリームを追跡(Follow TCP Stream)して一連の会話全体を調査し、その証拠をテキストファイルとして保存します。この実践的な演習では、セキュリティ専門家が不審な Web 通信を特定し記録するために使用する、不可欠なネットワークフォレンジック技術を習得します。
Web トラフィック証拠の抽出
NetDefenders 社のサイバーセキュリティ研修生として、あなたは潜在的なデータ漏洩を調査しています。指導教官は、従業員が labex.io にアクセスした際のネットワークトラフィックをキャプチャしました。あなたの任務は、フォレンジックトレーニング報告書の証拠として、その通信の詳細を抽出することです。
タスク
- キャプチャされた Wireshark のトラフィックをフィルタリングし、labex を含む TCP パケットのみを表示する。
- フィルタリングされたパケットから TCP ストリームを追跡し、プロジェクトフォルダ内に
tcp_evidence.txtという名前で保存する。
要件
/home/labex/projectディレクトリにあるキャプチャファイルnetwork_evidence.pcapngを Wireshark で開いてください。- 表示フィルタ(Display Filter)を使用して、内容に "labex" を含む TCP パケットのみを表示させてください。
- フィルタリングされたパケットの 1 つを選択し、Wireshark の「TCP ストリームの解析(Follow TCP Stream)」機能を使用して、会話全体を表示してください。
- TCP ストリームの内容を、
/home/labex/projectディレクトリにtcp_evidence.txtというファイル名で保存してください。 - 保存されたファイルには、使用しているシステムと labex.io の間の完全な TCP ストリームデータが含まれている必要があります。
例
正しいフィルタを適用すると、Wireshark の表示は以下のようになります。
TCP ストリームを追跡すると、会話データを示すウィンドウが表示されます。保存されるファイルには、TLS ハンドシェイク情報や暗号化された HTTPS トラフィックを含む、これらのデータが記録されます。
ヒント
- 特定のテキストを含む TCP パケットをフィルタリングするには、
tcp contains "text"という形式を使用します。 - パケットを右クリックし、「Follow(解析)」 > 「TCP Stream(TCP ストリーム)」を選択すると、会話全体を表示できます。
- 「Follow TCP Stream」ウィンドウで、「Save As(名前を付けて保存)」ボタンをクリックしてストリームデータを保存します。
- ファイル名は指定された通りに、指定されたディレクトリに正確に保存してください。
- 保存ダイアログのデフォルトの場所が異なる場合があるため、保存前に
/home/labex/projectに移動していることを確認してください。
まとめ
このチャレンジでは、Wireshark を使用してネットワークフォレンジックのタスクを行い、キャプチャされたパケットファイルから Web トラフィックの証拠を抽出しました。調査では、潜在的なデータ漏洩を記録するために、システムと labex.io の間の通信を調査することに焦点を当て、内容に "labex" を含む関連 TCP パケットを特定するための特定の表示フィルタを適用しました。
このプロセスを通じて、ネットワークキャプチャファイルを開き、トラフィックをフィルタリングし、TCP ストリームを追跡して完全な通信内容を確認し、その証拠をテキストファイルとして保存する手順を学びました。これらの手法は、ネットワークフォレンジック調査を実施し、セキュリティインシデント報告書のための証拠を準備するサイバーセキュリティ専門家にとって、極めて重要なスキルです。
