디지털포렌식 with CTF (91) 썸네일형 리스트형 [네트워크 포렌식] Sans Network Forensic [Puzzle 8] #4 #1번 문제에서 제공받은 evidenc08.pcap 패킷 파일을 사용합니다. Joe의 access point 패킷에서 WEP 초기화 벡터의 개수를 구하는 문제입니다. 와이어샤크의 필터링 기능을 사용할 수도 있지만, 중복된 초기화 벡터를 제거하지 못하기 때문에 Tshark의 자체 필터링 기능을 사용하겠습니다. 명령어를 해석해보자면 tshark (tshark 프로그램을 실행) -r (다음에 나오는 패킷 파일을 read) evidence08.pcap (패킷 파일) -Y (다음에 나오는 와이어샤크 디스플레이 필터를 사용) '(wlan.bssid == 00:23:69:61:00:d0)' && wlan.wep.iv' (해당하는 디스플레이 필터) -T fields (각 필드를 사용자 정의대로 출력) -e (다음 명령.. [네트워크 포렌식] Sans Network Forensic [Puzzle 8] #3 #1번 문제에서 제공받은 evidence08.pcap 패킷 파일을 사용합니다. WEP로 암호화된 데이터 프레임의 개수를 구하는 문제입니다. 와이어샤크 필터링 기능을 통해 암호화된 데이터 프레임의 개수를 알아보겠습니다. WEP로 암호화된 데이터 프레임 패킷은 데이터 프레임 영역에 protected flag가 1로 설정되어 있습니다. 그러므로 데이터 프레임 영역을 찾기 위하여 wlan.fc.type_subtype == 20 구문을 사용하여 데이터 프레임 영역을 지정하여 줍니다. 그리고 wlan.fc.protected == 1 구문을 사용하여 protected flag가 1인 패킷들을 확인하면 됩니다. 위와 같이 필터링을 적용하면 해당하는 패킷들이 쭉 나오게 됩니다. 와이어샤크의 하단 바를 확인하면 displ.. [네트워크 포렌식] Sans Network Forensic [Puzzle 8] #2 #1번 문제의 evidence08.pcap 패킷 파일을 사용합니다. 와이어샤크로 패킷 파일을 열어 보겠습니다. 시작부터 종료까지의 시간을 구하라고 하였으므로 와이어샤크의 Time 탭의 정보를 확인하면 됩니다. 마지막 패킷의 Time이 413.576954이므로 이 숫자가 정답이 됩니다. [네트워크 포렌식] Sans Network Forensic [Puzzle 8] #1 evidence08.pcap 패킷 파일을 제공해줍니다. 이를 와이어샤크로 열어 보겠습니다. 패킷들이 무선 통신한 패킷들(Protocol : 802.11)로 이루어져 있습니다. #1번 문제에서는 SSID와 BSSID를 구하라고 하였으니 와이어샤크에서 패킷 세부 내용을 확인해 보겠습니다. 첫 번째 패킷의 세부 내용입니다. BSS ID는 00:23:69:61:00:d0, SSID는 Ment0rNet 인 것을 확인할 수 있습니다. [네트워크 포렌식] Sans Network Forensic [Puzzle 4] #6 #1번에서 제공된 evidence04.pcap 패킷 파일을 사용합니다. 윈도우 시스템에서 열려있는 TCP 포트 번호를 구하는 문제입니다. 네트워크마이너 프로그램으로 Hosts 탭에서 TCP 포트 번호를 확인해 보도록 하겠습니다. 열려있는 TCP 포트의 번호는 139와 135이고, 문제에서 낮은 번호부터 작성하라고 하였으니 135,139가 되겠습니다. [네트워크 포렌식] Sans Network Forensic [Puzzle 4] #5 #1번에서 제공된 evidence04.pcap 패킷 파일을 사용합니다. Mr.X가 찾은 윈도우 시스템의 IP 주소를 묻고 있습니다. 네트워크마이너 프로그램의 Hosts 기능을 사용해서 확인하면 될 것 같습니다. 10.42.42.50 IP 주소가 Windows 환경인 것을 확인할 수 있습니다. [네트워크 포렌식] Sans Network Forensic [Puzzle 4] #4 #1번에서 주어진 evidence04.pcap 패킷 파일을 사용합니다. 와이어샤크로 패킷 파일을 열어보겠습니다. #3번에서 찾은 3개의 IP를 분석해 보면, 10.42.42.25에 해당하는 IP 주소가 Apple 시스템에 해당합니다. 와이어샤크 창에서 Apple 시스템의 MAC 주소를 찾을 수 있습니다. [네트워크 포렌식] Sans Network Forensic [Puzzle 4] #3 #1번 문제에서 Mr.X가 포트스캐닝을 하고 있는 3개의 IP를 구할 수 있었습니다. #1번 문제를 참고하면 답을 쉽게 구할 수 있습니다. [네트워크 포렌식] Sans Network Forensic [Puzzle 4] #2 #1번 문제에서 주어진 evidence04.pcap 파일을 사용합니다. 와이어샤크로 패킷 파일을 열어보겠습니다. 패킷을 보면 TCP SYN 패킷을 보내고 RST와 ACK 패킷을 받는 점을 확인할 수 있습니다. 이는 TCP 연결을 위한 3 way handshake 연결 과정으로 포트스캐닝을 하고 있다고 볼 수 있습니다. 그러므로 답은 TCP Connect 형식이 됩니다. [네트워크 포렌식] Sans Network Forensic [Puzzle 4] #1 evidence04.pcap 패킷 파일을 하나 제공해줍니다. Mr.X가 사용한 스캐너의 IP 주소를 묻고 있습니다. Mr.X가 포트스캐닝을 하고 있을 것이라는 의심을 해볼 수 있습니다. 와이어샤크의 Conversations 기능을 사용하겠습니다. Conversations 탭을 보면 10.42.42.25, 10.42.42.50, 10.42.42.56 이렇게 3개의 IP를 차례대로 포트스캐닝한다는 것을 확인할 수 있습니다. 그러므로 포트스캐닝을 하는 Mr.X의 IP는 10.42.42.253이 됩니다. 위와 같은 방법으로 답을 구할 수 있습니다. 이전 1 2 3 4 5 6 7 ··· 10 다음
