Netwotk Packet Analysis[2]

        

본 포스팅에서는 네트워크 패킷 분석에 대해서 다룹니다.

(도구설치와 같은 기초 지식은 본 포스팅에서 다루지 않습니다.)






지난 포스팅에서 네트워크 패킷을 분석하는 방법에 대해서 알아 보았습니다. 이번 포스팅에서는 네트워크상의 기본 프로토콜 분석 방법에 대해서 알아 보겠습니다.








1. FTP(File Transfer Protocol)

  -파일을 전송하기 위해 고안된 프로토콜

  -HTTP 프로토콜을 이용해 파일을 전송할 수 있지만, 대용량 파일을 전송할 때에는 부적합

  -HTTP에서 지원하는 스트리밍 서비스는 지원하지 않음

  -Active Mode와 Passive Mode를 지원

  -보안이 강화 된 SFTP도 존재


FTP프로토콜은 데이터 전송시 평문으로 전송되기 때문에 사용자의 ID/Password가 노출 되는 취약점이 있습니다.

FTP프로토콜이 캡쳐된 패킷을 와이어샤크를 통해 열은 후 FTP프로토콜로 필터링을 한 후 TCP Stream을 확인하면 평문으로 노출되는 것을 확인 할 수 있습니다.



[그림 1 FTP 필터링]



[그림 1]은 필터링 옵션을 통해 FTP 프로토콜을 필터링 한 결과입니다.



[그림 2 FTP프로토콜 TCP Stream 결과]


[그림 2]는 FTP 프로토콜의 TCP Stream를 한 결과 입니다. 아이디와 패스워드가 평문으로 전송되는것을 확인 가능하니다.






2.Telnet

  -원격 서버에 접속하기 위한 네트워크 연결 프로토콜

  -원격 서버를 관리할 때 편하게 사용 할 수 있는 프로토콜이지만, 보안에 취약함

  -Telnet을 대체하기 위해 SSH(Secure SHell)이 개발 됨

  -Telnet패킷은 Echo현상이 일어남

    (패킷 분석시 붉은색은 클라이언트에서 서버로 전송된 데이터이며, 파란색은 서버에서 클라이언트로 전송된 데이터입니다.)


Telnet의 패킷 또한 FTP와 마찬가지로 평문으로 전송되기 때문에 보안에 취약합니다.

Telnet패킷이 캡처된 패킷을 와이어샤크를 통해 열은 후 telnet프로토콜로 필터링을 한 후 TCP Stream을 확인하면 평문으로 노출된 


[그림 3 Telnet 필터링]



[그림 3]은 필터링 기능을 이용하여 Telnet 프로토콜을 필터링 한 결과입니다.



[그림 4 Telnet 프로토콜 TCP Steam 결과]



[그림 4]는 Telnet 프로토콜을 TCP Stream한 결과 입니다. 아이디와 패스워드가 평문으로 노출되는 것을 확인 가능하며, 에코현상이 발생되는것을 확인가능합니다.




3. SMTP

  -인터넷에서 이메일을 보내기 위해 이용되는 프로토콜

  -SMTP 패킷을 분석하면 주고 받은 메일의 원문과 첨부파일을 획득 할 수 있음

  -기본 포트는 25번



[그림 5 SMTP 개요도]



SMTP프로토콜은 메일을 주고 받기 위한 프로토콜로 사용되어 집니다. 기본적으로 평문 또는 base64로 인코딩되어 전송되지만, 메일이라는 특성으로 해당 패킷을 확장자를 " .eml " 로 저장시 메일내용을 확인 가능합니다.



[그림 6 SMTP 프로토콜 필터링]



[그림 6]은 필터링 기능을 이용하여 SMTP 프로토콜을 필터링 한 결과 입니다.



[그림 7 SMTP 프로토콜 TCP Steam 결과]



[그림 7]은 STMP의 패킷을 TCP Stream한 결과입니다. 또한 위에서 언급 했듯이 메일 전송 프로토콜은 해당 패킷을 ".eml"의 확장자로 저장하면 바로 메일 내용을 볼 수 있다고 언급 드렸습니다. 그렇기 때문에 하단에 "Save As"를 통해 ".eml"로 저장 하겠습니다.



[그림 8 SMTP 패킷 eml로 저장]


[그림 8]은 [그림 7]에서 "Save As"를 누르면 나오는 화면입니다. 해당 창에서 ".eml"의 확장자로 저장합니다. 




[그림 9 eml 열람 화면]


[그림 9]는 저장된 eml로 저장한 파일을 열람한 화면입니다. 해당 eml은 윈도우10에서는 기본적으로 뷰어가 없이도 확인이 가능하며, 그외 운영체제에서는 eml Viewer를 다운받아 해당 eml을 열람 하면 됩니다.








지금까지 가장 기본이 되는 프로토콜 FTP, Telnet, SMTP에 대해서 알아보았습니다.

다음 포스팅에는 HTTP 프로토콜에서의 파일가빙 방법, Port Scanning탐지, Wiress[WEP]에 대해서 알아보겠습니다.





'Digital Forensic > Network-Forensic' 카테고리의 다른 글

Network Packet Analysis[6]  (0) 2018.03.02
Network Packet Analysis[5]  (0) 2018.02.26
Network Packet Analysis[4]  (0) 2018.02.26
Network Packet Analysis[3]  (0) 2018.02.26
Network Packet Analysis[1]  (0) 2018.02.05

이 글을 공유하기

댓글