[네트워크 포렌식] Sans Network Forensic [Puzzle 8] #5

#1번 문제에서 제공받은 evidence08.pcap 패킷 파일을 사용합니다. 2계층 공격을 실행하는 MAC 주소를 묻고 있습니다.

 

네트워크 2계층에서의 공격을 알아보기 위하여 aircrack-ng 프로그램으로 암호화 키를 찾아보겠습니다.

 

evidence08.pcap 패킷 파일의 암호화 키를 구하였습니다. airdecap-ng 프로그램으로 패킷 파일을 복호화해 보겠습니다.

 

위와 같이 -w 옵션으로 암호화 키를 할당해주어 패킷 파일을 복호화해주었습니다.

 

와이어샤크를 통하여 복호화된 패킷 파일을 열어보겠습니다.

 

패킷을 분석하다 보면 ARP 프로토콜은 2계층에 속하는 통신 프로토콜이므로 ARP 프로토콜에 의한 공격을 의심해볼 수 있습니다.

 

지속적으로 ARP 패킷을 보내는 호스트의 MAC 주소는 패킷 상세 페이지에서 확인할 수 있습니다.

 

위와 같은 방법으로 #5번 문제의 답을 찾을 수 있습니다.