디지털포렌식 with CTF/Network Forensic (39) 썸네일형 리스트형 [네트워크 포렌식] Sans Network Forensic [Puzzle 4] #5 #1번에서 제공된 evidence04.pcap 패킷 파일을 사용합니다. Mr.X가 찾은 윈도우 시스템의 IP 주소를 묻고 있습니다. 네트워크마이너 프로그램의 Hosts 기능을 사용해서 확인하면 될 것 같습니다. 10.42.42.50 IP 주소가 Windows 환경인 것을 확인할 수 있습니다. [네트워크 포렌식] Sans Network Forensic [Puzzle 4] #4 #1번에서 주어진 evidence04.pcap 패킷 파일을 사용합니다. 와이어샤크로 패킷 파일을 열어보겠습니다. #3번에서 찾은 3개의 IP를 분석해 보면, 10.42.42.25에 해당하는 IP 주소가 Apple 시스템에 해당합니다. 와이어샤크 창에서 Apple 시스템의 MAC 주소를 찾을 수 있습니다. [네트워크 포렌식] Sans Network Forensic [Puzzle 4] #3 #1번 문제에서 Mr.X가 포트스캐닝을 하고 있는 3개의 IP를 구할 수 있었습니다. #1번 문제를 참고하면 답을 쉽게 구할 수 있습니다. [네트워크 포렌식] Sans Network Forensic [Puzzle 4] #2 #1번 문제에서 주어진 evidence04.pcap 파일을 사용합니다. 와이어샤크로 패킷 파일을 열어보겠습니다. 패킷을 보면 TCP SYN 패킷을 보내고 RST와 ACK 패킷을 받는 점을 확인할 수 있습니다. 이는 TCP 연결을 위한 3 way handshake 연결 과정으로 포트스캐닝을 하고 있다고 볼 수 있습니다. 그러므로 답은 TCP Connect 형식이 됩니다. [네트워크 포렌식] Sans Network Forensic [Puzzle 4] #1 evidence04.pcap 패킷 파일을 하나 제공해줍니다. Mr.X가 사용한 스캐너의 IP 주소를 묻고 있습니다. Mr.X가 포트스캐닝을 하고 있을 것이라는 의심을 해볼 수 있습니다. 와이어샤크의 Conversations 기능을 사용하겠습니다. Conversations 탭을 보면 10.42.42.25, 10.42.42.50, 10.42.42.56 이렇게 3개의 IP를 차례대로 포트스캐닝한다는 것을 확인할 수 있습니다. 그러므로 포트스캐닝을 하는 Mr.X의 IP는 10.42.42.253이 됩니다. 위와 같은 방법으로 답을 구할 수 있습니다. [네트워크 포렌식] Sans Network Forensic [Puzzle 3] #8 #1번 문제의 evidence03.pcap 패킷 파일을 사용하겠습니다. 마지막으로 검색한 내용을 묻고 있습니다. 와이어샤크로 패킷 파일을 열어 보겠습니다. #3번 문제에서 했던 것처럼 incremental 문자열로 검색해 보겠습니다. 가장 아래로 내려가면 iknowyourewatchingme 라는 문자열을 얻을 수 있습니다. 이와 같은 방법으로 #8번의 답을 구할 수 있습니다. [네트워크 포렌식] Sans Network Forensic [Puzzle 3] #7 #1번의 evidence03.pcap 패킷 파일을 사용하겠습니다. 가격이 price-display 항목에 정의되어 있다고 하니 #5번과 마찬가지로 xml 파일에서 검색해 보겠습니다. price-display로 검색해보면 9.99달러라고 나옵니다. 위와 같은 방법으로 #7번의 답을 구할 수 있습니다. [네트워크 포렌식] Sans Network Forensic [Puzzle 3] #6 #1번에서 주어진 evidence03.pcap 패킷 파일을 사용하겠습니다. 와이어샤크로 패킷 파일을 열겠습니다. #6번 또한 #4번과 마찬가지로 HTTP 200 OK 패킷을 찾아서 xml 소스코드를 분석해 보겠습니다. title이 Sneakers라고 되어 있습니다. 이렇게 #6번의 정답을 구할 수 있습니다. [네트워크 포렌식] Sans Network Forensic [Puzzle 3] #5 #1번 문제에서 주어진 evidence03.pcap 패킷 파일을 사용합니다. 영화 예고편의 전체 URL을 묻고 있습니다. preview-url이라고 정의되어 있다고 합니다. #4번에서 구했던 xml 소스코드에 preview-url이라고 key 태그를 사용하여 정의되어 있습니다. 위와 같은 방법으로 5번의 답을 구할 수 있습니다. [네트워크 포렌식] Sans Network Forensic [Puzzle 3] #4 #1번 문제에서 제공된 evidence03.pcap 패킷 파일을 사용합니다. Ann이 클릭한 첫 영화의 제목을 묻고 있습니다. 와이어샤크로 패킷 파일을 열어보겠습니다. #3번 문제에서 Ann은 h, ha, hac, hack 순서로 검색을 하였습니다. 사건의 흐름 상 검색을 한 후에 클릭을 하였을 것이므로 와이어샤크에서 hack 문자열으로 검색해봅니다. Hackers라는 영화가 나오게 됩니다. 이렇게 Ann이 클릭한 영화의 제목을 알 수 있습니다. 또한 HTTP 200 OK 패킷은 GET 요청에 의하여 발생하게 되고, 단어 검색에 대한 관련 데이터를 요청하는 GET 요청으로 200 OK 패킷이 응답되었습니다. 그러므로 Ann이 hack을 검색한 이후 GET 요청에 의한 HTTP 200 OK 패킷을 통하여 .. 이전 1 2 3 4 다음
