ぺぺぺぺのブログ

大学院の受験と博士論文の準備と資格試験の準備とアイ○ンマンレースとニコ生など配信

wiresharkで見るとmituisumitomoなる送り元のパケットがあったという話

2014年ごろ

これ見た覚えあるけど今日wireshark最新版で見てみたらなくなってた。やめたのか、見えないようにしたのかわからない。三井住友銀行がクラッシュに備え日本国民全員のPCで分散ネットを組んでいたのかとかいろいろ思う所はあったが当該パケットを保存もしていないし詳細は不明。危機が去ったのかもっといい対策を見つけたんだろう、めでたし。


 本日の雑な実験。エシュロンについて調べたり、エシュロンが検索しているというキーワードをニコ生に打ち込みまくったりしたが特に変なパケットは来なかった。エシュロンが実在しているとして、あとあげられる候補としては、ルーター、プロバイダの機器関係、OSのバックドア、ハードウェアになんか仕込んでるとか。もしくは、最新版のわいやーしゃーくには既に・・・ということでwindowsで動作中のワイヤーシャークをlinuxを経由して動的解析しアセンブラを逐次読むということをしてみた結果が欲しい人は50万円出してくれたら売るので連絡くださいwww
 なんてことを言えるスーパーハッカーになりたいだけの人生だった。最近少ないけど、UFOとかUMAを探すテレビ番組とか大好きだった。ああいうのを見てるときのわけわからない興奮が味わえて楽しかったです。あとシンガポールからのパケットとかも増えてて時代の移り変わりを感じました。
 
 netstatで見たら富士通と通信してた。マイクロソフトのhk2sch***というのは常時接続してなんか怪しいというネット記事も結構ある。あとラインPC版入れてるんだけどCLOSE_WAITになってるけど表示されている。akamaiもいたがアプデがないからかクローズ。あとgoogle関係のが一つ。


 上記が大体の概要。次はワイヤーシャークをごまかすソフトの存在を仮定したうえでの話。考えすぎかもしれない。



<HPから引用>
どのように Wiresharkがパケットをキャプチャしているかという所からみていきます。
NICの仕組み


NICは Ethernet規格 (IEEE802.3シリーズ)である 1000BASE-T等でデータの入出力を行うモジュールです。
補足ですが無線LAN規格は IEEE802.11で定義されています。
基本構成は以下の図の通りです。
nic_config
・PHY(ネットワークインターフェイス)
受信時は高周波ノイズフィルタ, ADC, 4B5Bデコーダを経由してイーサネットコントローラーに出力します。
送信時はイーサネットコントローラーで受けたデータをMLT-3に変換しケーブルに転送します。
・MAC
MACフレームの送受信を行います。MAUというバッファ領域を持ちます。CSMA/CDでアクセス制御しているのがこの部分です。
・HOST I/F (バスインターフェイス)
CPUとNIC間でデータの転送を行います。データ転送方式には、I/O方式、DMA方式、USB方式などがあります。DMAの場合はNIC自体ではバッファ管理をしません。
Wiresharkに表示されるまで


NICがLANケーブルなどから送られてきた電気信号をデジタル信号としてフレーム化します。
この時点の情報をキャプチャドライバ(LibPCap)が取得・解析してwiresharkが画面に表示します。
しかし, 厳密には表示されているのはNICに来た時点のパケットではないです。
例えばLinuxの場合以下の順序でプログラムはパケットを認識します。
NICがパケットを受信
NICドライバの割り込みハンドラの起動
受信パケットの処理をカーネル上位に依頼
pollハンドラによってパケット受信処理
<引用終了>
なので、このNICなるものを攻撃する方法があればwiresharkに表示されないパケット通信もあり得るということである。仮想NIC,デバイスドライバ書き換え、OSの乗っ取り、winpcapの書き換え・・・えtc。


 最終的にはCPUを舐めて舌先でCPUの挙動を理解できるようになりたいです(白目)

×

非ログインユーザーとして返信する