− 包括的な対策テクニック −
宮本 久仁男<kmiya@coe.nttdata.co.jp>
NTTデータ COEシステム本部
システム技術開発部第三技術開発担当
2001年12月22日
Appendix
■しかく今回利用したツール 〜Network Grep〜
筆者は普段linux_snifferやtcpdumpなどを使うのですが、認証時のパケットキャプチャを効率よく行うため、今回はNetwork Grep(以下ngrep)というツールを利用しました。イメージとしてはtcpdump+grepという感じのツールで、特定の文字列パターン(正規表現による記述が可能)を含むパケットのみを表示してくれるというものです(注)。
■しかくngrepのインストール
ngrepはlibpcapに依存するので、ngrepを利用するにはlibpcapも必要です。それぞれ以下の場所で入手できます。
- ngrep(2001年12月14日時点の最新版は1.40)
http://sourceforge.net/projects/ngrep/
- libpcap(2001年12月14日時点の最新版は0.6.2)
http://www.tcpdump.org/
必要なファイルがそろったら、libpcap→ngrepの順序でコンパイル&インストールを行います。
●くろまるlibpcapのコンパイル&インストール
1.libpcapのアーカイブを展開し、作成されたディレクトリ下に移動
$ tar xvzf libpcap-0.6.2.tar.gz
$ cd libpcap-0.6.2
2../configureの実行
$ ./configure
3.コンパイル&インストール
$ make
$ su root
Password:
# make install
●くろまるngrepのコンパイル&インストール
1.ngrepのアーカイブを展開し、作成されたディレクトリ下に移動
$ tar xvzf ngrep-1.40.tar.gz
$ cd ngrep
2. ./configureの実行
$ ./configure
3. コンパイル&インストール
$ make
$ su root
Password:
# make install
■しかくまずは使ってみよう
/usr/bin/ngrepを以下のオプション付きで実行してみましょう。なお、実行にはroot権限が必要です。eth0は、それぞれのネットワークインターフェイス名に応じて変更してください(注)。
# /usr/bin/ngrep -d eth0
すると、以下のような出力が得られることと思います。
# ngrep -d eth0
interface: eth0 (10.1.87.0/255.255.255.0)
##
T 10.1.87.157:23 -> 10.1.87.156:4223 [AP]
interface: eth0 (10.1.87.0/255.255.255.0)..
##
T 10.1.87.157:23 -> 10.1.87.156:4223 [AP]
##..T 10.1.87.157:23 -> 10.1.87.156:4223 [AP].. interface:
eth0 (10.1.87.0/255.255.255.0)..
..
##
T 10.1.87.157:23 -> 10.1.87.156:4223 [AP]
##..T 10.1.87.157:23 -> 10.1.87.156:4223 [AP].. ##..T
10.1.87.157:23 -> 10.1.87.156:4223 [AP].. interface:
eth0 (10.1.87.0/
255.255.255.0).. ..
..
..
exit
6 received, 0 dropped
■しかく実際に文字列パターンなどを指定したキャプチャの仕方
例えば、FTPなどでログイン時のシーケンスを取得するオプションは以下のようになります。
# /usr/bin/ngrep -d eth0 -iA 2 'user|pass'
tcp port 21
これにより、ユーザーID入力時やパスワード入力時から2パケットを表示するようになります。
では、上記のコマンドでどのようにキャプチャされるかを見てみましょう。まず、FTPクライアントからの操作経過を以下に示します。
C:\>ftp tripmachine
Connected to tripmachine.
220 tripmachine.ts.u.coe.nttdata.co.jp FTP server ready.
User (tripmachine:(none)): samplea
331 Password required for samplea.
Password:
230 User samplea logged in.
これをパケットキャプチャすると、以下のようになります。
# ngrep -d eth0 -iwA 2 'user|pass' tcp port 21
interface: eth0 (10.1.87.0/255.255.255.0)
filter: ip and ( tcp port 21 )
match: ((^user|pass\W)|(\Wuser|pass$)|(\Wuser|pass\W))
######
T 10.1.87.156:2769 -> 10.1.87.157:21 [AP]
USER samplea.. ←ユーザーID
#
T 10.1.87.157:21 -> 10.1.87.156:2769 [A]
#
T 10.1.87.157:21 -> 10.1.87.156:2769 [AP]
331 Password required for samplea...
##
T 10.1.87.156:2769 -> 10.1.87.157:21 [AP]
PASS passsamp.. ←パスワード
#
T 10.1.87.157:21 -> 10.1.87.156:2769 [AP]
230 User samplea logged in...
パケットキャプチャの結果を見ると、ユーザーIDとパスワードが取得されているのが分かります。
ngrepにはさまざまなコマンドラインオプションがあります。ただ、基本的にはgrepのオプションの一部(-Aや-w)、正規表現による文字列指定、tcpdumpによるプロトコルやポート、アドレス指定の方法などが使えるため、ここでは特に触れません。
包括的な対策テクニック
Appendix
今回利用したツール 〜Network Grep〜
ngrepのインストール
まずは使ってみよう
実際に文字列パターンなどを指定したキャプチャの仕方
技術仕様徹底解説
将来、SambaやCVSを不要にする可能性を秘めた「WebDAV」。このプロトコルの仕様から実用化までを徹底解説。今回は、技術仕様を明らかにする
WebDAVクライアント/サーバ環境の構築
WebDAVの実装はすでに存在する。LinuxによるWebDAVサーバの構築とクライアントの整備を行い、実際に使ってみよう
日本語ファイル名の利用とバージョン管理
日本語ファイル名を扱えるようにするほか、WebDAVの「V」を司るバージョン管理機能を実現。WebDAV解説完結編!
WebDAVの使用に際し、包括的な対策を行っておくのも重要である。何をどのように設定すればよいのかをここで明らかにする
Apache 2.0の正式リリースでWebDAVも新たな段階に入った。一方で、1.3時代のmod_encodingがうまく機能しないという問題も浮上した
DeltaVがRFCとしてリリースされ、WebDAVのバージョン管理機能も足元か固まった。DeltaVの実装である「Subversion」を導入しよう
- 【 pidof 】コマンド――コマンド名からプロセスIDを探す (2017年7月27日)
本連載は、Linuxのコマンドについて、基本書式からオプション、具体的な実行例までを紹介していきます。今回は、コマンド名からプロセスIDを探す「pidof」コマンドです。 - Linuxの「ジョブコントロール」をマスターしよう (2017年7月21日)
今回は、コマンドライン環境でのジョブコントロールを試してみましょう。X環境を持たないサーバ管理やリモート接続時に役立つ操作です - 【 pidstat 】コマンド――プロセスのリソース使用量を表示する (2017年7月21日)
本連載は、Linuxのコマンドについて、基本書式からオプション、具体的な実行例までを紹介していきます。今回は、プロセスごとのCPUの使用率やI/Oデバイスの使用状況を表示する「pidstat」コマンドです。 - 【 iostat 】コマンド――I/Oデバイスの使用状況を表示する (2017年7月20日)
本連載は、Linuxのコマンドについて、基本書式からオプション、具体的な実行例までを紹介していきます。今回は、I/Oデバイスの使用状況を表示する「iostat」コマンドです。