Wireshark達人への道 第十六歩 共有フォルダ削除したのだれ?

本連載は、筆者がWiresharkの達人となるまでを追うドキュメンタリー作品である。

パケットは嘘をつかない。

個人や中小企業ではそこまで費用はかけられませんが、常日頃からパケットを収集し保存するといった行動はいざというときに問題を解決する決定的な証拠となりえます。

共有サーバーやNASに保存したフォルダやファイルが消えていたといった経験は、誰でも一度はあるのではないでしょうか。

そんな時に役立つWiresharkによるファルダやファイル削除のフォレンジック方法をご紹介します。

前提として、共有フォルダやサーバーからファイルが削除されたときのトラフィックを全てキャプチャしているとします。

Windows10であればSMBというプロトコルのバージョン3を使っていると思います。

このプロトコルに対応するWiresharkのフィルタは多くありますが、削除を検索するには次の表示フィルタを使います。

smb2.disposition.delete_on_close
図1 表示フィルタで削除をフィルタ

表1の通り、フォルダを削除したIPアドレスと削除したフォルダ名(test)迄判別することができます。

さらにファイルの復元まで可能です。

正直、組織のトラフィックを全てキャプチャするのはコストがかかるので難しいことは重々承知です。

当方の提案としまして、

  • 収集時にフィルタをかけ、SMBに関わるトラフィックのみ収集・保存する
  • 1週間のトラフィックのみ保存し、以降は上書きする

といったソリューションがあります。

ある種の決めとルールを作成すれば、インシデント発生時でもリカバリーできる道を残せるのではないでしょうか。

(Visited 413 times, 1 visits today)
The following two tabs change content below.
【好きなもの】 インフラ技術が好き。古いものが好き。 【生きてきたフィールド】 システム運用、ソフトウェア開発、ミドルウェア検証、OSSサポート、プリセールスエンジニア、プロジェクトマネジメント 【このサイトでの役割】 サイト管理者。