etterlog の徹底解説：ettercapログファイルの解析ツール 🕵️‍♂️

etterlog を理解するためには、まず Ettercap がどのようにログを生成するかを知る必要があります。Ettercap は、ネットワーク上の通信を傍受し、その結果をファイルに保存する機能を持っています。主に以下の2種類のログファイルが生成されます。

• .eci ファイル (Ettercap Info File):
  • ネットワーク上で検出されたホストに関する情報（IPアドレス、MACアドレス、OS情報など）や、収集されたユーザー名、パスワードなどの認証情報（クレデンシャル）が記録されます。
  • Ettercap の -l または --log-info オプションで生成されます。
  • 比較的軽量なファイルです。
• .ecp ファイル (Ettercap Packet File):
  • 実際にネットワーク上を流れたパケットデータそのものが記録されます。
  • Ettercap の -L または --log オプションで生成されます。
  • 通信量によっては非常に大きなファイルサイズになることがあります。
  • -c または --compress オプションを Ettercap 実行時に指定することで、gzip 形式で圧縮して保存することも可能です。etterlog は圧縮されたログファイルもそのまま扱えます。

etterlog は、これらの .eci ファイルや .ecp ファイルを入力として受け取り、内容を解析・表示します。特に .eci ファイルから認証情報を抽出したり、.ecp ファイルから特定の通信セッションの詳細を表示したりするのに役立ちます。

etterlog の基本的なコマンド構文は非常にシンプルです。

etterlog [OPTIONS] <LOGFILE>

[OPTIONS] には後述する様々なオプションを指定し、<LOGFILE> には解析したい Ettercap のログファイル (.eci または .ecp) を指定します。

例えば、sniff_log.eci というファイルに記録された情報を表示する最も基本的なコマンドは以下のようになります。

etterlog sniff_log.eci

ただし、これだけでは全ての情報が混ざって表示されるため、通常は目的に応じたオプションを指定して使用します。

etterlog [OPTIONS] <LOGFILE> > output.txt

etterlog には多くのオプションがあり、これらを組み合わせることで様々な角度からログファイルを分析できます。ここでは、特によく使われる主要なオプションをいくつか紹介します。

これらのオプションは、必要に応じて複数組み合わせて使用することができます。

それでは、具体的なコマンド例をいくつか見ていきましょう。ここでは、ログファイル名を capture.eci および capture.ecp と仮定します。

1. 収集された認証情報（ユーザー名/パスワード）を表示する

Ettercap が傍受に成功したユーザー名とパスワードの組み合わせを表示します。これが etterlog の最も代表的な使い方の一つです。

etterlog -u capture.eci

または、より詳細な分析情報を含めて表示する場合：

etterlog -a capture.eci

Ettercap は、HTTP Basic 認証、FTP, POP3, IMAP, SMTP, Telnet, VNC など、様々なプロトコルの認証情報を解析できます。

2. 検出されたホスト情報を表示する

Ettercap がスキャンや通信傍受によって検出したネットワーク上のホストの情報をリスト表示します。

etterlog -i capture.eci

3. 全てのコネクションを表示する

キャプチャされたパケットログから、確立された通信セッション（コネクション）の一覧を表示します。

etterlog -c capture.ecp

4. 特定ホストに関連するコネクションのみを表示する

IP アドレス 192.168.1.100 が関与するコネクションだけをフィルタリングして表示します。

etterlog -c -F /192.168.1.100/ capture.ecp

または、-w オプションを使っても同様のことができます。

etterlog -c -w 192.168.1.100 capture.ecp

特定のホスト (例: 10.0.0.1) を含む行を `grep` で絞り込む古典的な方法もあります。

etterlog -c capture.ecp | grep 10.0.0.1

5. 特定プロトコル（例: HTTP）の通信ペイロードを表示する

HTTP (ポート 80) の通信に絞り込み、そのペイロード（通信内容）を ASCII 形式で表示します。

etterlog -p -O HTTP -V ascii capture.ecp

-V hex で16進数表示、-V binary でバイナリ表示も可能です。

6. ログファイルを Wireshark で開ける PCAP 形式に変換する

.ecp ファイルを標準的な PCAP (libpcap) 形式に変換し、capture.pcap という名前で保存します。これにより、Wireshark や tcpdump などの他の強力なパケット解析ツールで、より詳細な分析を行うことが可能になります。

etterlog -C pcap capture.ecp -o capture.pcap

(注意: -o オプションでのファイル出力はドキュメントによっては明記されていない場合がありますが、一般的に変換ツールでは出力ファイル指定が可能です。もし -o が機能しない場合はリダイレクトを使用します。)

etterlog -C pcap capture.ecp > capture.pcap

7. 特定コネクションのペイロードをファイルに保存する

例えば、FTP (ポート 21) の通信で、サーバー 192.168.1.50 からクライアントへのデータ転送（ファイルなど）を ftp_data.bin というファイルに保存します。

etterlog -s ftp_data.bin -F /192.168.1.50/21/ -V binary capture.ecp

（この例では、サーバーからクライアントへの向きを特定するために、より詳細なフィルタリングや -r オプションの検討が必要になる場合があります。）

etterlog は、単にログを表示するだけでなく、以下のような分析機能を持っています。

• 認証情報の抽出: 様々なプロトコル（HTTP Basic/Digest, FTP, POP3, IMAP, SMTP AUTH, Telnet, VNC, Kerberos, SMB, MySQL, PostgreSQL, Oracle, RDP など）のログイン試行を検出し、ユーザー名とパスワードを抽出します。
• ホストプロファイリング: 収集した情報から、OSの種類、開放ポート、稼働サービスなどのホスト情報を整理します。
• コネクション分析: どのホスト間で、どのポート（プロトコル）を使って通信が行われたかを一覧表示します。

しかし、etterlog の機能だけでは限界がある場合もあります。特に、複雑なプロトコルの詳細な解析や、グラフィカルな分析を行いたい場合です。そのような場合は、前述の -C pcap オプションを使ってログファイルを PCAP 形式に変換し、以下のような他のツールと連携するのが非常に効果的です。

• Wireshark: 高機能なグラフィカルパケットアナライザ。プロトコルの詳細なデコード、フィルタリング、統計表示、ストリーム追跡などが可能です。PCAP ファイルを読み込むことで、Ettercap がキャプチャしたデータを視覚的に深く分析できます。
• tcpdump: CUI ベースのパケットアナライザ。特定の条件に合致するパケットを抽出したり、ヘッダ情報を表示したりするのに適しています。スクリプトと組み合わせやすいのも特徴です。
• NetworkMiner: PCAP ファイルから、転送されたファイル、画像、認証情報、ホスト情報などを自動的に抽出・整理してくれるツールです。

etterlog で概要を把握したり、特定の情報を抽出したりした後、さらに詳細な分析が必要な場合に PCAP 形式に変換してこれらのツールを活用するという流れが一般的です。🔄

etterlog は、Ettercap でキャプチャしたネットワークトラフィックのログファイルを効率的に分析するための強力なコンパニオンツールです。収集された認証情報の確認、ホスト情報のリスト化、コネクションの追跡、そして他の解析ツールとの連携（PCAPエクスポート）など、多くの重要な機能を提供します。

基本的な使い方からオプションを駆使したフィルタリング、表示形式の変更まで、その機能を理解することで、ネットワークの診断やセキュリティテストの効率を大幅に向上させることができます。特に、-a, -u, -c, -p, -C pcap といったオプションは頻繁に利用されるでしょう。

この記事が、etterlog の理解と適切な活用の一助となれば幸いです。 Happy (ethical) hacking! 😉