
Wireshark達人への道 第十六歩 共有フォルダ削除したのだれ?
本連載は、筆者がWiresharkの達人となるまでを追うドキュメンタリー作品である。
パケットは嘘をつかない。
個人や中小企業ではそこまで費用はかけられませんが、常日頃からパケットを収集し保存するといった行動はいざというときに問題を解決する決定的な証拠となりえます。
共有サーバーやNASに保存したフォルダやファイルが消えていたといった経験は、誰でも一度はあるのではないでしょうか。
そんな時に役立つWiresharkによるファルダやファイル削除のフォレンジック方法をご紹介します。
前提として、共有フォルダやサーバーからファイルが削除されたときのトラフィックを全てキャプチャしているとします。
Windows10であればSMBというプロトコルのバージョン3を使っていると思います。
このプロトコルに対応するWiresharkのフィルタは多くありますが、削除を検索するには次の表示フィルタを使います。
smb2.disposition.delete_on_close

表1の通り、フォルダを削除したIPアドレスと削除したフォルダ名(test)迄判別することができます。
さらにファイルの復元まで可能です。
正直、組織のトラフィックを全てキャプチャするのはコストがかかるので難しいことは重々承知です。
当方の提案としまして、
- 収集時にフィルタをかけ、SMBに関わるトラフィックのみ収集・保存する
- 1週間のトラフィックのみ保存し、以降は上書きする
といったソリューションがあります。
ある種の決めとルールを作成すれば、インシデント発生時でもリカバリーできる道を残せるのではないでしょうか。
最新記事 by 伊集院 (全て見る)
- 【SYN SCANの簡単検知】実践パケット解析とntopに学ぶセキュリティ対策アプローチ - 2月 27, 2022
- 【マイニング利益を最大化しよう】Lolminer1.43以上による完全デュアルマイニング - 2月 13, 2022
- Clickhouseテーブルサイズの取得方法 - 2月 12, 2022