- 締切済み
WiresharkでSSL通信を復号(DH形式)
ルータの通信を眺めていたら、static.xlhost.comというところとSSL通信しているのを見つけて、ネットで検索を掛けてみたところ怪しいなと思い(spamの温床のようですが…)、ルータ側でパケットをキャプチャしてみたのですが…通信内容を復号できません。 http://d.hatena.ne.jp/ozuma/20140413/1397397632 一度ここのサイトを見ながらIP address(static.xlhost.comのアドレス),Port(443),Protocol(https),KeyFile(なし),Password(なし)というところまではこれたのですが、キャプチャしたパケットの内ClientKeyExchangeの欄を開いてみたらRSAではなくEC Diffie-Hellman Client paramsと表示されており、ここからどうやって復号まで漕ぎ着ければいいのか分かりません(pubkeyは65個の数字+記号で表示されています)。 また、KeyFileの見つけ方も今調べているところですが不明なままです。どなたか詳しい方、復号までの方法を教えていただければ助かります。よろしくお願いします。
- xdfsa11a
- お礼率99% (1021/1023)
- ネットワーク
- 回答数3
- ありがとう数6
- みんなの回答 (3)
- 専門家の回答
みんなの回答
- drum_KT
- ベストアンサー率43% (1108/2554)
質問で参照している記事は、「サーバがHeartbleedという脆弱性を持っていて、この脆弱性を利用した攻撃を行った結果、サーバの秘密鍵が入手できたと仮定して、その秘密鍵をWiresharkのKeyFileにセットすればSSL通信の内容がこういう風に解読できるよね」ということを説明しているので、サーバ側が自サイトにあって、あなた自身が秘密鍵を管理しているのでない限り、この方法で解読することは不可能です(相手サイトに対して実際にHertbleed脆弱性を利用した攻撃を行った場合、あなたが不正アクセス禁止法違反に問われる可能性があります)。 DHの場合は、秘密鍵がわかっていてもこの方法は使えないとも書いてありますが、それ以前の問題ですよね。 不審サイトへの定期アクセスは、マルウェアがC&Cサーバに対して行っているものであることが想定されるので、自サイト内の通信元を至急隔離して検査すべきと思います。
あああ、そうだわwashi001さん これに返事が出来る=SSLを破れるつうことだし。
お礼
ok_kamokamoさん、それはもしかして…Youtubeで検索を掛ければそれらしい情報が出てくるということ…ではないですよね。なにはともあれwashi001さんの対策で様子見してみます。ありがとうございます。
- washi001
- ベストアンサー率41% (158/380)
要らんつっこみかもしれませんが。 Port443の通信がパケットキャプチャで復号できてしまったら、暗号化の意味が ないのでは? 絶対無理とは言いませんが、途方も無い労力がかかるように思います。 それよりも、怪しいと感じていらっしゃるのであれば、URLフィルタなり、IPアドレス でフィルタするなり、通信を遮断する方がよいと思います。 もし遮断して、ユーザーからクレームがあがれば、そのときに何のサイトなのか調査する のが手順かな?と思います。
お礼
washi001さん、回答ありがとうございます。 サイトを見てみた感じあっさりいけるのかな?と思っていたのですが、そうではないようですね…。ちなみにルータは自宅のもので、ソフトウェアルータを使用しています。とりあえずIPアドレスで遮断して様子見してみます。HeartBeatという名前と簡単な説明を読んで、もしやできるのか?と思ってましたが、ローカルでApache立てて両方の情報を取れてないと出来ない、みたいな感じなのですね。勉強になりましたm(_ _)m
関連するQ&A
- Wiresharkの使い方
Wiresharkで、自分のパソコン以外のパソコンのパケットをキャプチャするにはどうすれば良いのでしょうか? ・遠くに住んでいる家族のパソコンをキャップチャするにはどうすれば良いのでしょうか?(IPアドレスを教えてもらえばできますか?) ・自宅にパソコンが2台あるのですが、Wiresharkをインストールしたパソコンからもう一つのパソコンの通信を見るにはどうすれば良いのでしょうか? ・大学の研究室に自分のパソコンを2台持って行くとして、Wiresharkをインストールしたパソコンからもう一つのパソコンの通信を見るにはどうすれば良いのでしょうか?(自分のパソコンを使って実験すれば迷惑にはなりませんか?) スイッチとかハブの仕組みがよくわかっていないのが原因だとはわかっているのですが、本などを読んでいても理解できなくて・・・申し訳ありませんが教えてください。 そもそも自分のパソコンがどのネットワーク機器で通信しているのかわかりません。 ですが、とりあえず実践してみて、パケットやネットワークについて学んでいきたいと思っています。 面倒でしたら、どれかひとつでも良いので教えてくださると嬉しいです。 よろしくお願いします。
- 締切済み
- ネットワーク
- Wireshark 該当時間のみ抽出
Wiresharkの フィルタリング方法について質問です。 現在、会社のルータのCPUが高騰している時間でどのような通信が行われているのかWiresharkを用いて解析をしようとしています。 キャプチャは事前にしかけており、丸一日のキャプチャログがある状態で、そこから該当時間のキャプチャのみ絞り込もうとしています。 ですが、Wiresharkで以下のフィルタをかけても該当時間からパケットキャプチャが終了した時間までのデータを出力してしまいます。 frame.time > "2015-06-11 09:59:00.000" やりたいこととして、9:59のログのみWireshark上へ表示させたいと考えています。 そこから、IPやプロトコルなどでさらに細かく絞り込む予定です。 フィルタで可能なのか、もしくはWiresharkの別の機能を使えば可能なのか、ご教示ください。 宜しくお願いします。
- 締切済み
- その他(ITシステム運用・管理)
- SSLと通信の途中経路について
ネットでSNSやメールアカウントにログインする際には通信にSSLが用いられますよね。これは通信内容を他人に見られないようにするためですよね。 SSLの説明などを読んでいるとネットワーク上を流れる際に盗聴されるのを防ぐという書き方をしている所が多くあるのですが、 自分の端末から相手のサーバーなり端末に送信した際に、どのような経路を経るのでしょうか? ネットで通信した際にパケットをキャプチャし得る全ての途中経路を教えてください。ただし、自分の端末から相手の端末までです。 (自分のPCは有線でルーターに接続していると仮定してください。 つまり、「無線でWEPを使っていると・・」という無線でのキャプチャは除いてください。) 説明がややこしくなりそうな時は以下の例えで教えてください。 例:日本からアメリカのWebサーバーにアクセスしたとします。 長々となりましたが、この手の情報に詳しい方お願いします。
- ベストアンサー
- ネットワーク
- ルータが外部に通信しようとします
次のような環境で、ADSLでインターネットに接続しています。 【ルータ兼ADSLモデム】 NEC Aterm DR202C 【ルータのLAN側IPアドレス】 192.168.0.1 【PCのLAN側IPアドレス】 192.168.0.2 ※PC1台でネットに接続しています ルータのパケットフィルタリングの設定において、localhost/255.255.255.0から任意の宛先IPアドレスに対して、宛先ポートが次に該当しない場合は、通信を拒否するように設定しています。 【通信可能な宛先ポート】 20,21,53,80,110,123,443,587 ルータのログを確認したところ、次の内容がありました。 2008/01/06 10:27:50 IP_Filter REJECT TCP 192.168.0.1:22 > 190.24.145.50:44792 (IP-PORT=6) ログの内容としては、ルータ(192.168.0.1)が(190.24.145.50)のTCP44792番ポートにアクセスしようとして、パケットフィルタリングの設定により、パケットが廃棄されたものだと思います。 なぜ、ルータがこのような通信をしようとしたのか、分かりません。 ルータには時刻合わせの機能がありますが、自動設定(工場出荷時の設定により、NTPサーバに接続)ではなく、手動設定でNTPサーバを指定したため、時刻合わせで上記の通信が発生するとは考えられません。 PCのウイルスチェックを実施しましたが、感染は見つかりませんでした。 このような通信が発生した原因として考えられることを教えてください。
- ベストアンサー
- ネットワーク
- 通信について教えてください
通信について教えてください。 家庭用の市販のルーターがあり、ルーターの2つのLANポートには、1つのLANポートにつき1台のパソコンという形で パソコンが2台(パソコンA,パソコンB) 接続されているとします。 (パソコンAとパソコンBはルーターを介して接続されています) ルーターはDHCPサーバーとして働き、パソコンにはプライベートIPアドレスが割り振られているとします。 パソコンA 192.168.0.2 パソコンB 192.168.0.3 ルーター 192.168.0.1 LAN内での通信であるパソコンAからパソコンBへ向けて通信するためには まずパソコンAはパソコンBのIPアドレスを事前に知っておく必要があると思います。 そして、パソコンAはARPによってパソコンBのMACアドレスを取得することになりますが =========================== (1) このMACアドレスの取得は、 ○パソコンBからの応答 ○(パソコンBのMACアドレス情報を保有している?)ルーターが応答 のどちらでしょうか? =========================== とにかくパソコンAはパソコンBのMACアドレスを取得したとし、パソコンBと通信を行いますが パソコンAからパソコンBへのの通信では =========================== (2) MACフレームの送信先MACアドレスは、 ○ルーターのMACアドレスになり、ルーターを経由するときにパソコンBのMACアドレスになる ○最初からパソコンBのMACアドレスである、ルーターを経由するときも変わらない のどちらでしょうか? =========================== =========================== (3) MACフレームの送信元MACアドレスは、 ○最初はパソコンAのMACアドレスであるが、ルーターを経由するときにルーターのMACアドレスになる ○最初からパソコンAのMACアドレスである、ルーターを経由するときも変わらない のどちらでしょうか? =========================== (α) LAN内で通信を行う時は、IPパケット内のIPアドレス情報さえあれば十分で、MACアドレスは必要ないように思うのですが 通信の決まりとしてMACアドレス情報を格納するMACフレームが必要となるので 通信を問題なく行うにはIPアドレスだけではなくMACアドレスも必要となってくるのでしょうか? (β) LAN内の通信だけではなく、インターネット上の通信でも常にMACアドレス情報を格納したMACフレームがIPアドレス情報を格納したIPパケットの外側に付いているのでしょうか? 以上、(1)(2)(3)(α)(β)について教えてください。
- 締切済み
- その他(ITシステム運用・管理)
- 同一LAN内でホスト同士が同じIPを設定するとなぜ通信が不安定に?
同一LAN内でホスト同士が同じIPを設定するとなぜ通信が不安定になるのでしょう? 通信をする時、ホストはゲートウェイのMACを調べるために、ARPを使って調べると思います。その後、通信をする時、自分のIPアドレスとMACアドレスをパケットのヘッダに書き込むと思うのですが、その時にルータがこのパケットに対する帰り(送信元)MACを学ぶと思うので、通信できるように思ってしまうのですが・・・。 http://www.atmarkit.co.jp/fnetwork/rensai/troutol03/01.html#
- ベストアンサー
- その他(インターネット接続・通信)
- WRC-2533GSTで相互通信ができない
WRC-2533GSTを使用しているユーザです。 数ヶ月利用して気づいたのですが、2.4GHz・5GHz・有線とネットワークがありますが、 それぞれ相互の通信が遮断されているように見えることに気づきました。 例: ・2.4GHz <-> 2.4GHz : OK ・2.4GHz <-> 5GHz : NG ・2.4GHz <-> 有線 : NG 適当なホストへの通信をパケットキャプチャしてみたところ、なぜかエレコムルータのMACアドレスを送信元として ・Pingを打った際にDestination Unreachable ・TCPの場合はRSTパケット が返ってきているようです。 このような動作は仕様なのか、また設定変更が可能かなどどなたかご存知でしょうか? ※OKWAVEより補足:「エレコム株式会社の製品」についての質問です。
- ベストアンサー
- Wi-Fi・無線LAN
- LAN内での通信について教えてください
LAN内での通信について教えてください。 家庭用の市販のルーターがあり、ルーターの3つのLANポートには、1つのLANポートにつき1台のパソコンという形で パソコンが3台(パソコンA,パソコンB,パソコンC) 接続されているとします。 (パソコンA,パソコンB,パソコンCはルーターを介して接続されています) ルーターはDHCPサーバーとして働き、パソコンにはプライベートIPアドレスが割り振られているとします。 パソコンA 192.168.0.2 パソコンB 192.168.0.3 パソコンC 192.168.0.4 ルーター 192.168.0.1 また、パソコンAは[パソコンB、パソコンC]の[IPアドレスとMACアドレス]を知っているとします。 ここでパソコンAのアプリケーションからパソコンBへ通信を行おうとした場合、 アプリケーションは[IPパケットにパソコンBのIPアドレスである192.168.0.3、MACフレームにパソコンBのMACアドレスを含んだ]データグラムを パソコンBとパソコンCの両方に届ける。 そして パソコンBは届いたデータグラムのMACフレームにパソコンBのMACアドレスが含まれていることから、自身が担当すべきとしてパソコンAに応答を返す。 ただ、パソコンBはIPパケット内の192.168.0.3の部分については全くチェックしない。 パソコンCは届いたデータグラムのMACフレームにパソコンBのMACアドレスが含まれていることから、自身が担当すべきでないと判断し、パソコンAには応答を返さない。 また、パソコンCはIPパケット内の192.168.0.3の部分については全くチェックしない。 間に存在するルーターは何もしない。 このようになるのでしょうか?
- 締切済み
- その他(ITシステム運用・管理)
- 通信ポートの設定
エラー表示 //通信エラー //携帯電話に接続できませんでした。 //携帯電話が正しく接続されているかを確認してください。 //確認してください: //携帯電話の電源は入っていますか? //正しい通信ポートを設定しますか? SoftBank 911Tにアドレス帳の内容を書き込みたいのですが、上記のとおり通信エラーが発生します。 デバイスマネージャでポートを確認したところ、 //911T AT Command Port (COM5) //911T OBEX Port (COM6) //通信ポート(COM1) //通信ポート(COM2) とあり、携快電話ZEROの通信ウィザードの設定で通信ポートをCOM5ないしはCOM6のどちらかに設定すべきなのではと思っているのですが、選択項目の中にそれらはありません。(通信ポートの選択肢は[COM1],[COM2],[FOMA USBコード]しか表示されません) 通信ポートの選択をどのようにすれば携帯へアドレス帳の内容を書き込みできるのでしょうか?
- 締切済み
- その他(ソフトウェア)
- wiresharkでパケットのデータの文字列検索
現在wiresharkでサーバー通信時の端末のパケットの内容の確認を行っていて、データ部分に"1009"という文字列を4文字を含んだパケットのみをフィルタで抽出して表示したいです。 試しに、 https://nekop.hatenablog.com/entry/20130624/1372041013 このサイトのフィルタのかけたかを参考に data.data contains 31:30:30:39 このようにしてフィルタしてみたのですが、引っ掛かりません。 どのようにフィルタを指定したらよいのかご教示頂きますよう、よろしくお願い致します。
- ベストアンサー
- その他([技術者向] コンピューター)
お礼
回答ありがとうございます。とりあえずFWの機能で国ごとブロックしました。これからも様子見していこうと思います。