[SK 쉴더스] 네트워크보안 2일차 -- 추가예정

실습 3) telnet_sniff.pacapng

- 목표 : 텔넷으로 접속한 사용자의 ID와 PW는 무엇일까요?

- 풀이 : TELNET으로 보이는 패킷을 하나 골라서 마우스 우클릭 → TCP Stream 선택

→ TCP의 흐름을 한번에 보는 방법

- 붉은색 글씨 : Client가 Server에게 보내는 메세지

- 푸른색 글씨 : Server가 Client에게 보내는 메세지

→ ID가 한글자씩 번갈아가면서 색이 다름 → Client가 입력할 때마다 Server에게 확인으로 다시 알려줌(Echo)

- 네트워크가 좋지 않을 때(Telnet이 생겼을 때) 입력시 확인이 필요해서 위와 같은 방법을 사용

  (패스워드는 보안을 위해 확인하지 않음)

cf. Telnet은 암호화가 되지 않기 때문에 사용할 경우, Sniffing(도청)의 위험이 매우 높음 → 사용x (Window에서 지원 안됨)

→ SSH(SecureShell)을 사용

 

실습4) fpt-clientside101.pcapng

- 목표 : FTP로 전달된 파일을 추출하시오

- FTP와 FTP-DATA의 차이? → TCP 헤더에 있는 포트번호

  FTP : 21 → 명령어를 수신하는 포트

  FTP-DATA : 20 → 파일을 송신하는 포트

- 풀이 : FTP-DATA에 마우스 우클릭 > Follow > TCP Stream

  ASCII → Raw로 변경 후 Save as → 이미지 파일 확인 가능

 

실습5) whoisshe.pcapng

- 목표 : 사진의 주인공은 누구일까요?

● 풀이

- HTTP 프로토콜로 yura.jpg 파일을 전송한 패킷을 찾아 TCP Stream 확인

- HTTP 포트 하나로 전송하므로 서버와 클라이언트의 메세지까지 함께 들어있음

- 클라이언트 쪽에서 보낸 메세지만 확인해서 저장 후 HxD로 명령어 부분 삭제

- FFD8 : 이미지 파일 시작 부분이므로 FFD8의 앞부분을 모두 삭제 후 jpg파일로 저장 → 이미지파일 확인 가능

 

실습6) 네이버 검색캡쳐.pcap

- 목표 : 검색한 단어는?

● 풀이1

- 검색은 GET 요청으로 보내짐 → http.request.method == GET (GET 요청 패킷만 출력)

- HTTP GET 패킷의 TCP Stream 확인 → query=steve+jobs

→ 검색어는 steve jobs

● 풀이2

- Edit > Find Packet > String으로 변경하고 search 검색

 

● 풀이3

- Display Filter에 frame matches search를 입력해서 찾음

 

문제1) 파티에 참석하기 위한 비밀문구는?

- 초대를 받지 못한 파티에 참석하기 위해 다른 사람의 초대장 메일을 스니핑함. 메일의 문구를 알면 파티에 입장 가능

풀이

- 키워드 이용 ex) party, friend, secret 등

- frame contains party 검색 → follow Tcp Stream → 메일 내용이 들어있는 패킷 확인

- 메일 내용을 URL-UTF8 디코딩하면 비밀문구 확인 가능  → brooklyn beat box

 

* frame contains '검색어' : 정확하게 일치하는 것만 출력

* frame matches '검색어' : 대소문자 구분없이 비슷하면 모두 출력, PCRE(정규표현식, Perl Conpatible Regular Expression)을 사용 가능

 

문제2) 회사 내부의 스파이를 잡아라

192.168.1.158으로 메세지를 보냄 → 

1) Ann의 친구의 이름 : Sec558user1

2) 캡쳐된 IM 대화의 첫 댓글 : Here's the secret recipe... I just downloaded it from the file server. Just copy to a thumb drive and you're good to go

3) Ann이 전송한 파일의 이름 : recipe.docx

4) 추출하려는 파일의 매직넘버(첫 4바이트) : PK (50 4B 03 04)

5) 파일의 MD5sum : 

6) 레시피의 내용 

 * 해시값 계산방법

- Fasthash_kr.exe : 파일의 해시값을 계산

 

문제3) 앤 더커버의 도주를 막아라

1) Ann의 이메일주소 sneakyg33k@aol.com

2) Ann의 이메일 비밀번호 558r00lz

3) Mr.X의 이메일 주소 mistersecretx@aol.com

4) Mr.X에게 가져오라고 한 두 가지 물건 Bring your fake passport and a bathing suit.

5) Mr.X에게 보낸 첨부파일의 이름 secretrendezvous.docx

6) Mr.X에게 보낸 첨부파일의 MD5sum 9e423e11db88f01bbff81172839e1923

7) Mr.X와 어느 나라의 어느 도시에서 만나기로 했는지 Playa del Carmen, Mexico

8) 문서에 포함된 이미지의 MD5sum 2deda162e18acc15fb9be01f012559d5

 

문제4) 

1) Ann의 AppleTV의 MAC 주소 00:25:00:fe:07:c4

2) Ann의 AppleTV는 HTTP 요청에서 어떤 User-Agent 문자열을 사용했는가? AppleTV/2.4

3) Ann이 AppleTV에서 처음 4개 검색어(모든 증분 검색 포함) 

- h

- ha

- hac

- hack

4) Ann이 클릭한 첫 번째 영화의 제목 : Hackers

5) 영화 예고편의 전체 URL('preview-url'로 정의)

http://a227.v.phobos.apple.com/us/r1000/008/Video/62/bd/1b/mzm.plqacyqb..640x278.h264lc.d2.p.m4v

6) Ann이 클릭한 두 번째 영화의 제목 : Sneakers

7) 구매 가격('price-display'로 정의) : $9.99

8) Ann이 마지막으로 검색한 전체 용어 : iknowyourewatchingme

 

● 스캐닝

- 열린포트에서는 ACK/SYN으로 응답, 닫힌포트에서는 ACK/RST로 응답 → 열린포트/닫힌포트 구분 가능

1. TCP SYN Scan(Open Scan)

- TCP에서 SYN를 보내 ACK/SYN가 돌아오면 ACK를 보냄 → 정상 연결됨을 확인(3way handshaking)

2. TCP ACK Scan

- ACK를 보내서 응답이 없으면 열린포트, RST가 오면 닫힌 포트

3. UDP Scan

- 실행중인 포트에서 UDP 응답이 옴

- UDP는 Handshaking이 없으므로, 닫힌포트는 ICMP destination unreachable

4. TCP Connect Scan(연결 완성)

- SYN을 보내서, ACK/SYN가 오면, ACK를 보냄 → 정상 연결

5. TCP Xmas

- TCP Flag를 모두 1로 만들어서 보내는 공격 : 111111 → Flag 6개를 모두 활성화(엉터리 로직)

- 열린포트는 응답없음, 닫힌포트는 RST를 보냄 → 구분 가능

6. TCP RST

- RST를 보내는 기법(잘 사용x)

 

문제5)  Mr.X의 정체

1) Mr.X 스캐너의 IP주소 - 10.42.42.253

2) Mr.X가 수행한 첫 번째 포트 스캔은 어떤 종류의 포트 스캔이었는지? - TCP Connect

    (참고 : 스캔은 수천개의 패킷으로 구성되었음, 하나를 선택)

- TCP SYN

- TCP ACK

- UDP

- TCP 연결

- TCP xmas

- TCP RST

3) Mr.X가 발견한 표적의 IP주소 - 10.42.42.50, 10.42.42.56, 10.42.42.25

4) 그가 찾은 Apple 시스템의 Mac 주소 - 00:16:cd:92:6e:dc

5) 그가 찾은 Windows 시스템의 IP 주소 - 10.42.42.50

6) Windows 시스템에서 어떤 TCP 포트가 열려있는가(가장 낮은것부터 높은것까지 십진수를 나열) - 135,139

 

* Apple MAC : Hardware와 OS를 같이 판매 → MAC 주소에 Apple이라고 나옴

  Windows : Hardware의 Mac 주소가 Network 장비 회사, OS는 TTL=128로 응답, 135, 139번 포트 열려있음

 

* TCP Flag 순서 : UAPRSF (URG,ACK,PUSH,RST,SYN,FINISH)

ex) ACK로 응답하는지 확인? 010000 → 디스플레이 필터에 tcp.flags == 16 검색