[네트워크 포렌식] Sans Network Forensic [Puzzle 8] #3

#1번 문제에서 제공받은 evidence08.pcap 패킷 파일을 사용합니다. WEP로 암호화된 데이터 프레임의 개수를 구하는 문제입니다.

 

와이어샤크 필터링 기능을 통해 암호화된 데이터 프레임의 개수를 알아보겠습니다.

 

WEP로 암호화된 데이터 프레임 패킷은 데이터 프레임 영역에 protected flag가 1로 설정되어 있습니다.

 

그러므로 데이터 프레임 영역을 찾기 위하여 wlan.fc.type_subtype == 20 구문을 사용하여 데이터 프레임 영역을 지정하여 줍니다.

 

그리고 wlan.fc.protected == 1 구문을 사용하여 protected flag가 1인 패킷들을 확인하면 됩니다.

 

위와 같이 필터링을 적용하면 해당하는 패킷들이 쭉 나오게 됩니다.

 

와이어샤크의 하단 바를 확인하면 display된 패킷의 개수를 알려줍니다. 이렇게 #3번 문제의 답을 구할 수 있습니다.