전체 글 (638) 썸네일형 리스트형 [네트워크 포렌식] Sans Network Forensic [Puzzle 8] #8 #1번 문제에서 제공하는 evidence08.pcap 패킷 파일을 사용합니다. username과 password를 구하는 문제입니다. 문제에서 Joe의 MAC 주소를 알려줍니다. 이를 통해 와이어샤크의 필터링 기능으로 Joe의 IP 주소를 찾아보겠습니다. #5번 문제에서 복호화한 패킷 파일에서 Joe의 MAC 주소로 통신한 패킷을 확인해 보겠습니다. 위와 같이 Joe의 MAC 주소로 필터링을 한 뒤, 패킷 상세 페이지에 Joe의 IP 주소를 확인할 수 있습니다. Joe의 IP 주소를 구하였으니 NetworkMiner의 Credentials 탭을 통하여 username과 password를 확인해 보겠습니다. 클라이언트 IP가 Joe의 IP에 해당하는 192.168.1.100 일 때의 username과 pa.. [네트워크 포렌식] Sans Network Forensic [Puzzle 8] #7 #1번 문제에서 주어진 evidence08.pcap 패킷 파일을 사용합니다. Joe가 사용하는 WEP 패스워드를 묻습니다. #5번 문제를 풀이할 때 aircrack-ng 프로그램을 통하여 암호화 키의 값을 찾았습니다. 이를 입력하면 문제를 해결할 수 있습니다. [네트워크 포렌식] Sans Network Forensic [Puzzle 8] #6 #1번 패킷에서 받은 evidence08.pcap 파일을 사용합니다. Joe의 access point와 관련된 공격자와 그 이외의 측면에서의 초기화 벡터의 개수를 구하는 문제입니다. 공격자 측면의 초기화 벡터의 개수는 #4번 문제와 같은 방법으로 구할 수 있습니다. 명령어에 대한 설명은 #4번 문제 풀이를 참고하시길 바랍니다. 공격자 이외의 측면에서의 초기화 벡터의 개수는 wlan.sa 부분을 != (같지않음) 으로 바꾸어주면 됩니다. 즉 답은 14133+15587인 29720이 됩니다. [네트워크 포렌식] Sans Network Forensic [Puzzle 8] #5 #1번 문제에서 제공받은 evidence08.pcap 패킷 파일을 사용합니다. 2계층 공격을 실행하는 MAC 주소를 묻고 있습니다. 네트워크 2계층에서의 공격을 알아보기 위하여 aircrack-ng 프로그램으로 암호화 키를 찾아보겠습니다. evidence08.pcap 패킷 파일의 암호화 키를 구하였습니다. airdecap-ng 프로그램으로 패킷 파일을 복호화해 보겠습니다. 위와 같이 -w 옵션으로 암호화 키를 할당해주어 패킷 파일을 복호화해주었습니다. 와이어샤크를 통하여 복호화된 패킷 파일을 열어보겠습니다. 패킷을 분석하다 보면 ARP 프로토콜은 2계층에 속하는 통신 프로토콜이므로 ARP 프로토콜에 의한 공격을 의심해볼 수 있습니다. 지속적으로 ARP 패킷을 보내는 호스트의 MAC 주소는 패킷 상세 페이.. [네트워크 포렌식] Sans Network Forensic [Puzzle 8] #4 #1번 문제에서 제공받은 evidenc08.pcap 패킷 파일을 사용합니다. Joe의 access point 패킷에서 WEP 초기화 벡터의 개수를 구하는 문제입니다. 와이어샤크의 필터링 기능을 사용할 수도 있지만, 중복된 초기화 벡터를 제거하지 못하기 때문에 Tshark의 자체 필터링 기능을 사용하겠습니다. 명령어를 해석해보자면 tshark (tshark 프로그램을 실행) -r (다음에 나오는 패킷 파일을 read) evidence08.pcap (패킷 파일) -Y (다음에 나오는 와이어샤크 디스플레이 필터를 사용) '(wlan.bssid == 00:23:69:61:00:d0)' && wlan.wep.iv' (해당하는 디스플레이 필터) -T fields (각 필드를 사용자 정의대로 출력) -e (다음 명령.. 이전 1 ··· 76 77 78 79 80 81 82 ··· 128 다음
