Network Packet Analysis[3]
- Digital Forensic/Network-Forensic
- 2018. 2. 26. 13:03
본 포스팅에서는 네트워크 패킷 분석에 대해서 다룹니다.
(도구설치와 같은 기초 지식은 본 포스팅에서 다루지 않습니다.)
1.Wireless
[그림 1 Wireless]
[그림 1]과 같이 무선 패킷은 일바적으로 암호화되어 있습니다. 그렇기 때문에 복호화를 진행해주어야만 분석이 가능합니다. 현재 분선 패킷의 복호화가 가능한것은 보안에 취약한 WEP와 WPA입니다. 이번 포스팅에서는 WEP로 암호화 되어있는 무선 패킷을 복호화 하는 과정을 알아보겠습니다.
[그림 2 AirCrack-ng GUI 실행화면]
[그림 2 ]는 AirCrack-ng GUI를 실행 시킨 화면입니다. 상단의 AirCrack-ng탭을 통해 먼저 WEP의 키를 찾아주어야 합니다,
Filename(s)를 통해 키를 찾을 패킷을 선택후 WEP의 키 사이즈를 64비트로 맞춰줍니다.(WEP의 키는 보통 64비트 입니다. 혹여 64비트로 키를 못찾을 경우 키의 비트수를 높여 주시면 됩니다.) 그런후 하단의 런처(실행)버튼을 눌러주면 됩니다.
[그림 3 WEP KEY Crack 화면]
[그림 3]과 같이 AirCrack-ng를 통해 WEP의 키를 찾은 화면입니다. 해당 키를 복사를 하여 이제 실제 패킷을 복호화를 진행하겠습니다.
[그림 4 Airdecap-ng 탭 화면]
[그림 4]는 Airdecap-ng 탭 화면입니다. 앞서 찾은 키를 통해 복호화가 가능한 메뉴입니다. Filename에 복호화를 할 패킷을 선택 후 하단의 Encryption 메뉴를 통해 찾은 키를 넣은후 우측 하단의 실행 버튼을 클릭 합니다.
[그림 5 무선 패킷(WEP) 복호화 성공 ]
[그림 5]와 같이 정상적으로 복호화가 진행되면 복호화가 된 패킷파일 이 생성됩니다.
[그림 6 복호화 된 패킷 생성 - wireless Packet-dec.pcap]
[그림 7 복호화 된 패킷 확인]
[그림 7]과 같이 정상적으로 패킷이 복호화 된것을 확인 가능합니다.
이처럼 무선패킷은 일반적으로 암호화가 되어 있기때문에 복호화를 진행 해야지만 분석이 가능합니다.
2. Port Scan
포트 스캔과 같은 공격은 아래 그림들과 같이 일정한 형태로 플래그를 전송합니다.
1) TCP OPEN Scan
[그림 8 TCP OPEN Scan]
2)TCP Half OPEN Scan
[그림 8 TCP Half OPEN SCAN]
3)UDP Scan
[그림 8 UDP Scan]
4) ACK Scan
[그림 9 ACK 스캔]
5)Stealth Scan
[그림 10 Stealth Scan]
[그림 11 Port Scan 패킷 탐지]
[그림 11]과 같이 스캔 공격의 패킷을 확인하면 위에서 언급 하였듯이 일정한 형태의 플래그로 나타나는것을 확인 할 수 있습니다. [그림 11]의 화면에서 나타나는 형태는 SYN > RST/ACK로 TCP OPEN Scan또는 TCP Half OPEN Scan공격으로 판단 할 수 있습니다.
3. HTTP Data Carving
[그림 12 카빙할 데이터 확인]
[그림 12]와 같이 HTTP 패킷을 분석하여 카빙할 패킷을 찾습니다. 패킷 에서 데이터 카빙시에는 데이터의 헤더시그니처를 확인하여 실제 데이터로써의 가치가 있는지를 판단 할 수 있습니다. 그렇기 때문에 카빙시에는 분석자가 헤더의 시그니처 정보를 알아야지만 카빙이 가능합니다. [그림 12]는 mp4파일을 확인한 화면입니다.
[그림 13 데이터 패킷 저장]
[그림 13]과 같이 해당 데이터를 카빙하기 위해서 해당 패킷만 파일로 저장을 합니다.
[그림 14 데이터 타입 저장]
[그림 14]와 같이 이름을 지정하고 데이터 타입을 지정하여 저장합니다.
[그림 15 MP4 헤더 시그니처 확인]
[그림 15]와 같이 저장한 파일을 확인하면 세션에 필요한 데이터가 있기때문에 실제 카빙해야할 데이터의 헤더 시그니처 정보를 확인하여 삭제해야할 데이터 영역을 확인합니다.
[그림 16 불필요 데이터 삭제]
[그림 16]과 같이 실제 데이터의 헤더 시그니처 시작 부분 전까지 불필요한 데이터를 드래그하여 삭제를 합니다.
[그림 17 MP4데이터만 저장]
[그림 17]과 같이 Offset주소의 0이 실제 데이터의 헤더시그니처 주소를 가르키면 파일을 저장합니다.
[그림 18 MP4 카빙]
[그림 18]과 같이 저장된 데이터를 실행시켜 제대로 카빙되었는지 확인합니다. 정상적으로 데이터를 카빙하여 영상이 재생되는것을 확인 할 수 있습니다.
이번 포스팅에서는 무선패킷 복호화, 스캐닝, HTTP에서의 데이터 카빙에 대해서 알아 보았습니다.
다음 포스팅에서는 챌린지를 통해 지금까지 배운 방법들을 이용하여 문제풀이를 포스팅 하겠습니다.
'Digital Forensic > Network-Forensic' 카테고리의 다른 글
Network Packet Analysis[6] (0) | 2018.03.02 |
---|---|
Network Packet Analysis[5] (0) | 2018.02.26 |
Network Packet Analysis[4] (0) | 2018.02.26 |
Netwotk Packet Analysis[2] (1) | 2018.02.13 |
Network Packet Analysis[1] (0) | 2018.02.05 |
이 글을 공유하기