traffic-analysis-pcap
ネットワークキャプチャの解析とPCAPフォレンジックに特化したプレイブック。Wiresharkフィルタ、プロトコル解析(HTTP/DNS/FTP/SMTP/USB/WiFi)、データ抽出、隠蔽チャネルの検出、PCAPの修復、TLS復号、tsharkコマンドライン解析など、ネットワークキャプチャファイルの調査・分析が必要な場面で活用してください。
description の原文を見る
>- Traffic analysis and PCAP forensics playbook. Use when analyzing network captures including Wireshark filters, protocol analysis (HTTP/DNS/FTP/SMTP/USB/WiFi), data extraction, covert channel detection, PCAP repair, TLS decryption, and tshark command-line analysis.
SKILL.md 本文
SKILL: Traffic Analysis & PCAP — Expert Analysis Playbook
AI LOAD INSTRUCTION: Expert traffic analysis and PCAP forensics techniques. Covers PCAP repair, Wireshark essential filters, protocol-specific analysis (HTTP, HTTPS/TLS, DNS, FTP, SMTP, USB HID, WiFi, ICMP), data extraction (file carving, credential harvesting, covert channels), NetworkMiner, and tshark CLI analysis. Base models miss USB keyboard decode patterns, DNS tunneling detection heuristics, and TLS decryption workflows.
0. RELATED ROUTING
開始する前に、以下のスキルの読み込みも検討してください:
memory-forensics-volatility— ネットワークトラフィックとメモリアーティファクトの相関分析にsteganography-techniques— トラフィックキャプチャから抽出したファイルの解析にnetwork-protocol-attacks— キャプチャ内の攻撃パターンの理解にreverse-shell-techniques— キャプチャ内のシェルトラフィック特定に
1. PCAP REPAIR
pcapfix corrupted.pcap -o fixed.pcap # repair corrupted PCAP
# Magic bytes: d4c3b2a1=pcap(LE), a1b2c3d4=pcap(BE), 0a0d0d0a=pcapng
editcap -F pcap capture.pcapng capture.pcap # convert pcapng→pcap
mergecap -w merged.pcap file1.pcap file2.pcap # merge captures
2. WIRESHARK ESSENTIAL FILTERS
IP / ホストフィルタ
ip.addr == 10.0.0.1 # 送信元または宛先
ip.src == 10.0.0.1 # 送信元のみ
ip.dst == 10.0.0.1 # 宛先のみ
ip.addr == 10.0.0.0/24 # サブネット
!(ip.addr == 10.0.0.1) # ホストを除外
プロトコルフィルタ
http # 全HTTP
dns # 全DNS
tcp # 全TCP
ftp # 全FTP
smtp # 全SMTP
tls # 全TLS/SSL
icmp # 全ICMP
arp # 全ARP
TCP / ストリーム
tcp.stream eq 5 # 特定のTCPストリームを追跡
tcp.port == 80 # ポート80のトラフィック
tcp.flags.syn == 1 && tcp.flags.ack == 0 # SYNパケット(接続開始)
tcp.analysis.retransmission # 再送パケット
tcp.len > 0 # ペイロード付きパケット
HTTP
http.request.method == "POST" # POSTリクエスト
http.request.method == "GET" # GETリクエスト
http.response.code == 200 # 成功応答
http.response.code >= 400 # エラー応答
http.request.uri contains "login" # URIに文字列を含む
http.host contains "target.com" # 特定のホスト
http.content_type contains "json" # JSONレスポンス
http.cookie contains "session" # セッションクッキー
http.request.full_uri # 完全URIを表示(カラム)
DNS
dns.qry.name contains "evil.com" # 特定ドメインのクエリ
dns.qry.type == 1 # Aレコード
dns.qry.type == 28 # AAAAレコード
dns.qry.type == 16 # TXTレコード
dns.flags.response == 1 # DNSレスポンスのみ
dns.resp.len > 100 # 大きなDNSレスポンス
TLS
tls.handshake.type == 1 # Client Hello
tls.handshake.type == 2 # Server Hello
tls.handshake.extensions.server_name # SNI(ホスト名)
tls.handshake.type == 11 # Certificate
コンテンツ検索
frame contains "password" # 生バイト内を検索
frame contains "flag{" # CTFフラグパターン
tcp contains "admin" # TCPペイロード内を検索
3. PROTOCOL ANALYSIS
HTTP — ストリーム追跡と抽出
パケットを右クリック → Follow → TCP Stream
# 完全なHTTPリクエスト/レスポンスの会話を表示
# ファイル抽出:
# File → Export Objects → HTTP → Save All
# 認証情報狩り用の便利なフィルタ:
http.request.method == "POST" && frame contains "password"
http.request.method == "POST" && frame contains "login"
http.authbasic # Basic認証(base64エンコード)
HTTPS / TLS 復号化
# 方法1: SSLKEYLOGFILE(ブラウザからのpre-master secrets)
# ブラウザを開く前に環境変数を設定:
export SSLKEYLOGFILE=/tmp/sslkeys.log
firefox https://target.com
# Wireshark: Edit → Preferences → Protocols → TLS
# → (Pre)-Master-Secret log filename: /tmp/sslkeys.log
# 方法2: サーバーの秘密鍵(RSA鍵交換のみ)
# Wireshark: Edit → Preferences → Protocols → TLS → RSA keys list
# → Add: IP, Port, Protocol, Key file (.pem)
DNS — トンネリング検出
# DNSトンネリングの指標:
# 1. 異常に長いサブドメイン名(>30文字)
# 2. 高いボリュームのTXTレコードクエリ/レスポンス
# 3. 同じドメインへの一貫したクエリパターン
# 4. Base32/Base64風のサブドメイン文字列
# 5. 単一ホストからの高頻度クエリ
# 疑わしいDNS用Wiresharkフィルタ:
dns.qry.name.len > 50 # 長いクエリ名
dns.qry.type == 16 # TXTレコード(トンネリング一般的)
dns.resp.len > 512 # 大きなDNSレスポンス
# tshark抽出:
tshark -r capture.pcap -Y "dns.qry.type==16" -T fields -e dns.qry.name
FTP — 認証情報とファイル抽出
# FTP認証情報(平文)
# フィルタ: ftp.request.command == "USER" || ftp.request.command == "PASS"
# FTPファイル転送の再構築:
# FTPは別のデータチャネルを使用(通常ポート20または動的)
# データ接続のTCPストリームを追跡してファイルを抽出
# tshark:
tshark -r capture.pcap -Y "ftp.request.command==USER || ftp.request.command==PASS" -T fields -e ftp.request.arg
SMTP — メールコンテンツ抽出
# TCPストリーム追跡 → MAIL FROM/RCPT TO/DATAセクション
# 添付ファイル: MIME内のbase64 → Content-Transfer-Encodingブロックをデコード
# フィルタ:
smtp.req.command == "AUTH" # 認証(多くの場合base64)
smtp contains "Content-Disposition: attachment" # 添付ファイル
USB — キーボードHIDキャプチャのデコード
# USB HIDキーボードトラフィック: 8バイトデータを持つinterrupt転送
# フィルタ: usb.transfer_type == 0x01
# キーストロークを抽出:
tshark -r usb.pcap -Y "usb.capdata && usb.data_len == 8" -T fields -e usb.capdata > keystrokes.txt
# HIDキーコードレイアウト: byte[0]=modifier, byte[2]=keycode
# 0x04=a..0x1d=z, 0x1e=1..0x27=0, 0x28=Enter, 0x2c=Space
# PythonまたはオンラインHIDデコーダを使ってキーコード → テキスト変換
WiFi — WPA Handshake
# キャプチャ: airodump-ng --bssid AP_MAC -w capture wlan0mon
# 変換 + クラック: hcxpcapngtool -o hash.hc22000 capture.pcap
hashcat -m 22000 hash.hc22000 wordlist.txt
# Deauth検出: wlan.fc.type_subtype == 0x0c
ICMP — データ流出
# ICMPペイロード分析
# 通常ping: パターンデータ32または64バイト
# 流出: ICMP ペイロードに意味のあるデータ
# フィルタ:
icmp && data.len > 48 # 異常なICMPペイロードサイズ
icmp.type == 8 # エコーリクエスト
# ICMPペイロードを抽出:
tshark -r capture.pcap -Y "icmp.type==8" -T fields -e data.data
4. DATA EXTRACTION
ファイルカービング
# Wireshark: File → Export Objects
# 対応形式: HTTP, SMB, TFTP, IMF(メール), DICOM
# 再構成されたストリームから手動で:
# Follow TCP Stream → Show as Raw → Save As
# エクスポートしたストリームデータにbinwalkを使用
binwalk -e exported_stream.bin
foremost -i exported_stream.bin -o carved/
認証情報の収集
# 平文: ftp || telnet || http.authbasic || smtp || pop || imap
# NTLM: ntlmssp.auth.username → NTLMSSPメッセージからチャレンジ/レスポンスを抽出
# ハッシュ形式: user::domain:challenge:NTProofStr:blob → hashcat -m 5600
隠蔽チャネル検出
指標: 長いサブドメインを持つDNS、大きなペイロードを持つICMP、エンコードされたヘッダーを持つHTTP、定期的なビーコン間隔(C2)。統計的異常検出には tshark -q -z io,stat,1 と -z conv,tcp を使用します。
5. NETWORKMINER
# 自動PCAP解析: sudo apt install networkminer
# PCAP を開く → 自動抽出: ファイル、画像、認証情報、セッション、DNS
# Files タブ: HTTP/SMB/FTPから抽出 | Credentials タブ: 平文認証情報
6. TSHARK COMMAND-LINE ANALYSIS
tshark -r capture.pcap -Y "http.request" -T fields -e http.host -e http.request.uri
tshark -r capture.pcap -Y "dns.flags.response==0" -T fields -e dns.qry.name | sort -u
tshark -r capture.pcap -Y "http.request.method==POST" -T fields -e http.file_data
tshark -r capture.pcap -q -z io,stat,1 # I/O グラフ
tshark -r capture.pcap -q -z conv,tcp # TCP会話
tshark -r capture.pcap -q -z endpoints,ip # IPエンドポイント
tshark -r capture.pcap -q -z io,phs # プロトコル階層
tshark -r capture.pcap -q -z follow,tcp,ascii,0 # ストリーム0を追跡
tshark -r capture.pcap --export-objects http,/tmp/exported/
7. DECISION TREE
解析するPCAPファイル
│
├── ファイルが開かない?
│ ├── マジックバイトをチェック: xxd | head (§1)
│ ├── 修復: pcapfix (§1)
│ └── 変換: editcap pcapng→pcap (§1)
│
├── キャプチャに何が入っているか?(クイック概要)
│ ├── tshark -q -z io,phs (プロトコル階層) (§6)
│ ├── tshark -q -z conv,tcp (会話) (§6)
│ └── tshark -q -z endpoints,ip (エンドポイント) (§6)
│
├── HTTPトラフィック?
│ ├── オブジェクトをエクスポート: File → Export Objects → HTTP (§4)
│ ├── 認証情報狩り: POST + password/loginフィルタ (§3)
│ ├── ストリームを追跡: 興味深いリクエスト/レスポンスペア (§3)
│ └── 暗号化(HTTPS)? → SSLKEYLOGFILE または RSA鍵が必要 (§3)
│
├── DNSトラフィック?
│ ├── 長いサブドメイン? → DNSトンネリング (§3)
│ ├── 高いTXTレコードボリューム? → DNS流出 (§3)
│ ├── 全クエリを抽出: tshark -Y dns -T fields -e dns.qry.name (§6)
│ └── DNSリバインディング? → 交互のAレコード応答をチェック
│
├── FTP / Telnet / SMTP?
│ ├── 認証情報を抽出(平文) (§3)
│ ├── ファイル転送を再構築(データストリームを追跡) (§3)
│ └── メールコンテンツと添付ファイル(base64デコード) (§3)
│
├── USBトラフィック?
│ ├── キーボードHID → キーストロークをデコード (§3)
│ ├── ストレージ → 転送ファイルを抽出
│ └── transfer_typeとdata_lenフィールドをチェック
│
├── WiFiトラフィック?
│ ├── WPA handshake → hashcatでクラック (§3)
│ ├── Deauthフレーム → 攻撃を検出 (§3)
│ └── Probeリクエスト → デバイスフィンガープリント
│
├── ICMPトラフィック?
│ ├── 大きい/可変ペイロード → データ流出 (§3)
│ ├── 定期的なパターン → ICMPトンネル (§3)
│ └── ペイロード抽出: tshark -Y icmp -T fields -e data.data
│
├── 疑わしいパターン?
│ ├── 定期的なビーコン間隔 → C2通信 (§4)
│ ├── 異常なポート/プロトコルの組み合わせ → 隠蔽チャネル (§4)
│ ├── 単一外部IPへの高ボリューム → データ流出 (§4)
│ └── SNIなしの暗号化トラフィック → 疑わしいトンネル
│
└── 自動抽出が必要?
├── NetworkMiner(ファイル/認証情報/画像) (§5)
├── tshark --export-objects(HTTP/SMBファイル) (§6)
└── binwalk/foremost(エクスポートしたストリーム) (§4)
ライセンス: MIT(寛容ライセンスのため全文を引用しています) · 原本リポジトリ
詳細情報
- 作者
- yaklang
- リポジトリ
- yaklang/hack-skills
- ライセンス
- MIT
- 最終更新
- 不明
Source: https://github.com/yaklang/hack-skills / ライセンス: MIT
関連スキル
hugging-face-trackio
Trackioを使用してMLトレーニング実験を追跡・可視化できます。トレーニング中のメトリクスログ記録(Python API)、トレーニング診断のアラート発火、ログされたメトリクスの取得・分析(CLI)が必要な場合に活用してください。リアルタイムダッシュボード表示、Webhookを使用したアラート、HF Space同期、自動化向けのJSON出力に対応しています。
btc-bottom-model
ビットコインのサイクルタイミングモデルで、加重スコアリングシステムを搭載しています。日次パルス(4指標、32ポイント)とウィークリー構造(9指標、68ポイント)の2カテゴリーにわたる13の指標を追跡し、0~100のマーケットヒートスコアを算出します。ETFフロー、ファンディングレート、ロング/ショート比率、恐怖・貪欲指数、LTH-MVRV、NUPL、SOPR(LTH+STH)、LTH供給率、移動平均倍率(365日MA、200週MA)、週次RSI、出来高トレンドに対応します。市場サイクル全体を通じて買いと売りの両方の推奨を提供します。ビットコインの底値拾い、BTCサイクルポジション、買い時・売り時、オンチェーン指標、MVRV、NUPL、SOPR、LTH動向、ETFの流出入、ファンディングレート、恐怖指数、ビットコインが過熱状態か、マイナーコスト、暗号資産市場のセンチメント、BTCのポジションサイジング、「今ビットコインを買うべきか」「BTCが天井をつけているか」「オンチェーン指標は何を示しているか」といった質問の際にこのスキルを活用します。
protein_solubility_optimization
タンパク質の溶解性最適化 - タンパク質の溶解性を最適化します。タンパク質の特性を計算し、溶解性と親水性を予測し、有効な変異を提案します。タンパク質配列の特性計算、タンパク質機能の予測、親水性計算、ゼロショット配列予測を含むタンパク質エンジニアリング業務に使用できます。3つのSCPサーバーから4つのツールを統合しています。
research-lookup
Parallel Chat APIまたはPerplexity sonar-pro-searchを使用して、最新の研究情報を検索できます。学術論文の検索にも対応しています。クエリは自動的に最適なバックエンドにルーティングされるため、論文の検索、研究データの収集、科学情報の検証に活用できます。
tree-formatting
ggtree(R)またはiTOL(ウェブ)を使用して、系統樹の可視化とフォーマットを行います。系統樹を図として描画する際、ツリーレイアウトの選択、分類学に基づく枝やラベルの色付け、クレードの折りたたみ、サポート値の表示、またはツリーへのオーバーレイ追加が必要な場合に使用してください。系統推定(protein-phylogenyスキルを使用)やドメイン注釈(今後の独立したスキル)には使用しないでください。
querying-indonesian-gov-data
インドネシア政府の50以上のAPIとデータソースに接続できます。BPJPH(ハラール認証)、BOM(食品安全)、OJK(金融適正性)、BPS(統計)、BMKG(気象・地震)、インドネシア中央銀行(為替レート)、IDX(株式)、CKAN公開データポータル、pasal.id(第三者法MCP)に対応しています。インドネシア政府データを活用したアプリ開発、.go.idウェブサイトのスクレイピング、ハラール認証の確認、企業の法的適正性の検証、金融機関ステータスの照会、またはインドネシアMCPサーバーへの接続時に使用できます。CSRF処理、CKAN API使用方法、IP制限回避など、すぐに実行可能なPythonパターンを含んでいます。