Security Tips
 

Network Grepで手軽なパケットキャプチャ

宮本 久仁男
2004/6/16

 パケットキャプチャのツールとしては、tcpdumpやEtherealなどがよく使われるが、パケットに含まれるテキストデータの内容を基にキャプチャしたいなどの場合は、これらのツールよりも Network Grep(ngrep)と呼ばれるツールを用いる方が効率的な場合がある。

●ソースコードの入手、コンパイル

 ngrepの公式サイトからアーカイブを入手し、コンパイルを行う。最新版は、5月9日時点で1.42である。

Network Grep
http://ngrep.sourceforge.net/

 コンパイルに当たっては、libpcapが必要だが、パケットキャプチャにtcpdumpやEtherealを活用している環境であれば、すでにlibpcapは入っていると考えて差し支えない。必要であれば、UNIX版はtcpdump公式サイトから、Win32版はWinPcap公式サイトから入手可能だ。

tcpdump
http://www.tcpdump.org/

WinPcap
http://winpcap.polito.it/

 Debian GNU/Linux 3.0を使っている場合、apt-get install libpcap-devを実行して、開発用ライブラリを導入しておこう。なお、Debianの場合、ngrepは普通にapt-get install ngrepとしてインストールできるが、バージョンが若干古い。

 コンパイルは通常どおりにアーカイブを展開した後、./configure + makeで可能だ。また、Win32版バイナリもngrepの公式サイトから入手可能だが、WinPcapをあらかじめインストールしておく必要があるので注意が必要だ。

●使用可能な機能

 ngrepは、ネットワークキャプチャプログラムとして基本的な機能を備えている。特徴的な機能は以下に挙げるものだろう。

and/or/notによるポートなどの条件指定

 ngrep not port 80とすることで、80番ポートに対するもの「以外」のパケットをキャプチャ、表示することが可能である。

正規表現によるパケット内のデータマッチングおよび表示

 ngrep [a-zA-Z] port 23とすることで、パケット内にアルファベットが入る場合にパケットを表示する。

表示の形式を選べる

 ngrep v1.42で使用可能になった機能だ。ngrep -W byline port 80と記述することで、HTTPリクエストやリプライの内容(特にヘッダなど)を見やすくすることが可能になる。以下に例を示す。

#########
T 192.168.0.2:2350 -> 192.168.0.1:80 [AP]
GET /doc/apache/ HTTP/1.0.
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/vnd.ms-
excel, application/vnd.ms-powerpoint, application/msword, application/x-shockwav
e-flash, */*.
Referer: http://kid.todo.gr.jp/.
Accept-Language: ja.
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1).
Via: 1.0 proxy.example.net:8080 (Squid/2.4.STABLE7).
X-Forwarded-For: 192.168.0.2.
Host: kid.todo.gr.jp.
Cache-Control: max-age=259200.
Connection: keep-alive.
.

##
T 192.168.0.1:80 -> 192.168.0.2:2350 [AP]
HTTP/1.1 403 Forbidden.
Date: Sat, 08 May 2004 21:43:40 GMT.
Server: Apache/1.3.26 (Unix) Debian GNU/Linux PHP/4.1.2.
Connection: close.
Content-Type: text/html; charset=iso-8859-1.
.
<!Document HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<HTML><HEAD>
<TITLE>403 Forbidden</TITLE>
</HEAD><BODY>
<H1>Forbidden</H1>
You don't have permission to access /doc/apache/
on this server.<P>
<HR>
<ADDRESS>Apache/1.3.26 Server at kid.todo.gr.jp Port 80</ADDRESS>
</BODY></HTML>

####


Security Tips Index


@IT Special

- PR -

TechTargetジャパン

Security&Trust フォーラム 新着記事
  • 「セキュリティリサーチャー」って何をする人? (2017/5/26)
     ネットにはさまざまな脅威や脆弱性の情報もあふれている。そんな情報過多な状況から、有用な情報だけを選別し、正しく共有していくこともまた必要だ。WannaCry騒ぎ、Apache Struts 2脆弱性……そのとき「彼ら」は何をしていたのか
  • マルウェアを防ぐには出入口対策から――複数のセキュリティ技術で多層防御する (2017/5/24)
    人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
  • セキュリティ対策でモノを言うのは「スピード」、20秒以内で検知可能なローソン (2017/5/16)
    「脅威の侵入を100%防ぐのは不可能」という前提に立った新たなセキュリティ対策を模索してきたローソン。脅威の検知と一次対応を速やかに実行し、迅速なインシデントレスポンスを支援するツールを導入した結果、20秒以内に社員が利用する約7000台のPCから感染端末を検索する体制を立ち上げた。
  • 無線LANのただ乗りに「無罪判決」の驚き (2017/5/11)
    2017年4月、セキュリティクラスタが注目したのは先月に続いて「Apache Struts 2」の脆弱(ぜいじゃく)性。対応がよろしくない組織が目立ったためです。無線LANのただ乗りに対して「無罪判決」が出たことにも、話題が集まりました。
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)
- PR -

イベントカレンダー

PickUpイベント

- PR -

アクセスランキング

もっと見る

ホワイトペーパーTechTargetジャパン

注目のテーマ

Security & Trust 記事ランキング

本日 月間
ソリューションFLASH