[네트워크 포렌식] Sans Network Forensic [Puzzle 8] #4

#1번 문제에서 제공받은 evidenc08.pcap 패킷 파일을 사용합니다.

 

Joe의 access point 패킷에서 WEP 초기화 벡터의 개수를 구하는 문제입니다.

 

와이어샤크의 필터링 기능을 사용할 수도 있지만, 중복된 초기화 벡터를 제거하지 못하기 때문에 Tshark의 자체 필터링 기능을 사용하겠습니다.

 

명령어를 해석해보자면

 

tshark (tshark 프로그램을 실행) -r (다음에 나오는 패킷 파일을 read) evidence08.pcap (패킷 파일) -Y (다음에 나오는 와이어샤크 디스플레이 필터를 사용) '(wlan.bssid == 00:23:69:61:00:d0)' && wlan.wep.iv' (해당하는 디스플레이 필터) -T fields (각 필드를 사용자 정의대로 출력) -e (다음 명령어에 출력하고자 하는 필드를 지정) wlan.wep.iv (출력하고자 하는 필드) | sort -u (필드 내의 값을 제거하고 유일한 값만 출력, 중복 제거) | wc -l (특정 파일의 행의 개수만 출력)

 

이 됩니다.

 

위와 같은 명령어를 통하여 #4번 문제의 답을 구할 수 있었습니다.