악성코드와 하율파파

인증 패킷 분석 KISA 온라인 해킹방어 훈련장 4번째 문제 입니다. 풀이과정 위 그림을 보면 패킷의 상당부분이 SIP 로 이루어져 있으며 SIP인터넷 전화를 사용하는 프로토콜이라는 것을 알 수 있습니다.따라서 해당 패킷은 SIP를 도청한 패킷으로 예상됩니다. 위 그림에서 ID가 */*로 암호화 되어있는 것을 알 수 있습니다.아이디와 패스워드를 알아내기 위해 Kali linux를 이용했습니다. 그림과 같이 Kail Linux의 Sipdump 명령을 이용해 kisia_05.pcap을 kisia_sip.pacp으로 변경했습니다. (PS.제가 KISIA에서 교육중에 푼 문제라 파일 이름을 KISIA로 변경해 놓은 것 입니다. 파일이름은 신경안쓰셔도 됩니다.) john 명령을 이용하여 사전파일을 생성합니다. J..

패킷 내용 분석 KISA온라인 해킹방어 훈련장 Wetwork 부분 3 번째 문제 입니다. 풀이과정 파일을 TCP stream으로 확인해 보면 위 그림과 같은 내용을 얻을 수 있습니다.추측을 해보면 어떤 대화내용인 것 같습니다. 메시지를 보면 메시지에 전반적으로 %09%09%09가 출력되고 있으며, 상황으로 봤을 때 비밀대화에서 암호로 의심이 가는 부분이 있습니다.MESG 12 번째 라인의 내용인데요. 본 내용을 입력해 인증해 봤습니다. 3번째 문제도 쉽게 풀 수 있었습니다.

PCAP 파일을 분석하여라!2 풀이과정 PCAP 파일을 열고, 위 그림괴 같이 Conversations를 이용하여 telnet 통신 과정을 확인해 봅니다.해당 telnet 내용을 TCP stream으로 하나하나 확인해 보면 위 그림과 같이 로그인 ID와 해당 Password를 확인할 수 있습니다. 패스워드의 내용만 입력하시면 인증이 되질 않습니다. 잘 생각해 보시면 금방 풀 수 있을 것입니다.

KISA 온라인 해킹방어 훈련장 Network 부분 - PCAP 파일을 분석하여라!1 KISA에서 운영하는 sis.or.kr이라는 사이트가 있습니다. 보안에 관심있으신 분들은 차근차근 문제를 풀어보시면 많은 도움이 될 것이라 생각합니다. Network 문제는 wireshark를 사용하면 마지막 문제를 제외하고 다 풀 수 있는것 같습니다. 마지막 문제를 못풀었기에..... 첫 번째 문제에서 여섯 번째 까지 문제의 풀이를 진행해 보려 합니다. 1. PCAP 파일을 분석하여라!1 ​풀이과정 와이어 샤크를 이용해 PACP를 연 후, 통신 프로토콜을 확인해 봅니다.위 캡처 내용은 Conversations 에서 통신한 포트를 기준으로 패킷들을 열어본것 입니다. 위 TCP통신 에서 포트번호 51446번과 6664 번..

IP header구조에 대해 알아보겠습니다. 1. Version(4bit) : -Version버전 정보로 IPv6 IPv4 를 나타냅니다. 2. IHL(4bit) : -IHL(ip header length) ip 헤더의 길이를 나타내는 값입니다. 와이어 샤크로 확인해 봅시다. ​Version 4 로 IPv4인 것을 알려줍니다.Header length는 5로 나올텐데, 이는 20​byte 입니다. 참고로 IP header 길이가 5보다 작다면 잘못된 헤더의 길이 5의 크기이면 기본 헤더의 길이 5보다 크다면 IP헤더의 옵션 필드가 존재 합니다. 3. ​TOS(Type of Service) (1byte): - TOS비트는 순서대로 지연(delay), 처리량(Throughput), 신뢰성(Reliablity)..

ARP :주소 결정 프로토콜(Address Resolution Protocol)해당 IP를 그 IP주소에 맞는 물리적인 주소 즉, MAC주소를 가지고 오는 프로토콜입니다. RARP :역순 주소 결정 프로토콜 (Reverse Address Resolution Protocol)ARP와 반대로 해당 MAC주소에 맞는 IP값을 알아오는 프로토콜 입니다. ARP 헤더의 구조 입니다. 1. Hardware Type (2byte)네트워크 유형을 정의하며, Ethernet 환경의 경우 0x0001 으로 세팅 2. Protocol Type (2byte)프로토콜을 정의하며, IP 프로토콜 버전4(IPv4)의 경우 0x0800 세팅 3. Hardware Address Length (1byte) MAC주소의 길이를 정의하며,..

이더넷은 매체를 공유하는 방식의 로컬 네트워크 프로토콜이다. 주소는 6바이트(48비트)로 되어 있으며 12개의 16진수로 표현한다. 첫 3바이트(즉, 16진 문자 세 쌍)은 NIC(Network Interface Card)의 제조사 주소 부분이다. 뒤 3바이트는 그 제조사의 카드의 고유 일련번호 이다. 패킷의 전체 크기에 제한을 두고 있다. MTU(Maximum Transmission Unit)은 이더넷 II와 802.3 패킷이 최대 1,500 byte 크기의 데이터를 운반할 수 있다고 규정하고 있다. Ethernet(DIX)에 대해서만 설명하겠습니다. 1.Preamble (8byte) : 송신자와 수신자가 동기화 하는데 이용한다. 2.Destination address (6byte) : 목적지의 MAC..

OSI 7 layer에 대해 알아보겠습니다. OSI 7 layer의 구조 입니다. 물리 계층은 실제 장치들을 연결하기 위해 필요한 전기적, 물리적 세부 사항들을 정의한다.랜 카드, 인터페이스가 물리 계층의 장치이다. 데이터 링크 계층은 포인트 투 포인트(Point to Point) 간 신뢰성있는 전송을 보장하기 위한 계층으로 CRC 기반의 오류 제어와 흐름 제어가 필요하다.물리 계층에서 발생할 수 있는 오류를 찾아 내고, 수정하는 데 필요한 기능적, 절차적 수단을 제공한다.데이터 링크 계층에서 많이 쓰는 프로토콜은 이더넷(ethernet) 프로토콜이다.L2 스위치가 데이터 링크 계층의 대표적 장치이다. 네트워크 계층은 여러개의..

네트워크의 연결 형태를 가리켜 토폴로지(topology)라고 말하며 노드들과 이들을 연결하는 링크들로 이루어진 네트워크의 배열이나 구성 등의 형태를 의미하는 용어이다. 링형(Ring Topology) 노드들이 좌우의 인접한 노드들과만 일대일 연결되어 전체적으로 원형을 이루는 구조이다.전체적으로 원형이기 때문에 데이터는 한 방향으로 전송해야 한다. 랜을 구현하는 한 방식인 토큰링(Token Ring)이나 광선로를 이용하여 고속랜은 구현하기 위해 개발된 FDDI(Fiber Distributed Digital Interfaces)가 링형의 대표적인 예이다. 장점 : 각 노드사이 연결 최소화 ( 비용이 적게 든다)단점 : 한 노드에 이상이 생기면 전체 시스템에 이상이 생기게 된다. 스타형(Star Topolog..