리뷰28 Wireshark 활용하기 #28 Wireshark에서 IP에 대한 국가 정보 표시하기 GeoIP.dat.gz GeoLiteCity.dat.gz GeoIPASNum.dat.gz GeoLite 다운로드 주소: http://geolite.maxmind.com/download/geoip/database/ Edit->Preferences->Name Resolution-GeoIP database directories에 위 파일을 추가 패킷의 Internet Protocol 부분에 마우스 오른쪽을 클릭하고 Protocol Preferences에 나타나는 메뉴 중 하나인 Enable GeoIP lookups 체크 2021. 4. 29. Wireshark 활용하기 #27 다음은 시스템 공격과 관련된 패킷을 분석하기 위한 예시이다. 각 파일을 분석하시오. 1) operation aurora (test_000041.pcap) 2) ARP Cache poisoning (test_000042.pcap) 3) Trojan horse (test_000043.pcap) 2021. 4. 29. Wireshark 활용하기 #26 1. 열린 포트와 닫힌 포트 & 접속 가능한 호스트와 불가능한 호스트를 구별해 보시오.(test_000039.pcap) 2. 핑거프린팅 1) 수동 핑거프린팅(Passive Fingerprinting) 수동 핑거프린팅 도구 (p0f) wireshark와 p0f를 이용하여 시스템을 분석 http://blog.lib.umn.edu/ayubx003/dividebyzero/2010/03/10/how_to_os_fingerprinting_using.html 2) 능동 핑거프린팅(Active Fingerprinting) (test_000040.pcap) 2021. 4. 29. Wireshark 활용하기 #25 Stop and Wait, Congestion Window(CWND)+Received Window(RWND) Selective ACK 1) TCP 오류 복구 기능 - TCP Retransmission (test_000031.pcap) Retransmission Timer : Retransmission Timeout(RTO) = RTT(Round Trip Time)의 평균 시간 패킷 전송 후 ACK를 RTO 시간 이내에 받지 못하면 재전송 RTO은 2배 증가 재전송 시도 횟수는 운영체제에 따라 상이함(Windows 5회, Linux 15회) - TCP Duplicate ACK & TCP Fast Retransmission & Selective ACK (test_000032.pcap) Sequence Num.. 2021. 4. 29. Wireshark 활용하기 #24 두 시스템 간에 FTP를 이용하여 데이터를 전송하고 있는데 시스템 관리자가 데이터가 깨진다며 네트워크 상에 문제가 있지 않느냐고 문의를 해왔다. 데이터는 데이터베이스에 삽입될 수 있도록 CSV 파일로 전송된다. 첨부된 패킷을 분석하여 적절한 답변을 하시오. 2021. 4. 29. Wireshark 활용하기 #23 기관의 내부에 1차, 2차 DNS가 구성되어 있으며 내부 PC는 2차 DNS를 Name Server로 등록하여 사용하고 있다. 현재 내부 PC에서 appserver에 접속하고자 하는데 접속이 안되고 있다. 첨부된 패킷을 분석하여 어느 부분을 더 조사해야 하는지 설명하시오. 2021. 4. 29. Wireshark 활용하기 #22 이용자가 특정 사이트에서 작업을 하는 도중 반복적으로 통신이 끊긴다고 알려왔다. PC와 사이트 간의 통신과정을 Capture하여 첨부했다. PC와 사이트 간에 PING은 정상적으로 통신 가능하였다 . 어떤 부분을 더 조사해야 하나? 2021. 4. 29. Wireshark 활용하기 #21 사용자의 PC에서 인터넷 접근이 안된다고 불평을 하고 있다. 조사한 결과 www.google.co.kr 에만 접속이 안되며 모든 PC에서 동일한 증상이 있음을 확인하였다. 첨부된 패킷을 분석한 후 어떤 부분에 대해서 조사를 더 진행해야 하는가? 2021. 4. 29. Wireshark 활용하기 #20 작은 스위치에 몇몇 시스템이 연결되어 있고, 라우터를 통해 외부와 연결되어 있는 작은 네트워크이며 현재 내부 특정 PC에서 외부로 접속은 가능하지만 www.google.co.kr(74.125.203.94)에는 접속을 할 수 없는 상황이다. 첨부된 패킷을 분석한 후 추가로 확인해야 할 사항은 무엇인가? 2021. 4. 29. Wireshark 활용하기 #19 작은 스위치에 몇몇 시스템이 연결되어 있고, 라우터를 통해 외부와 연결되어 있는 작은 네트워크이며 현재 내부 시스템들이 인터넷에 접속을 못하고 있다. 첨부된 파일을 분석한 후 아래의 질문에 답하시오. 1) Gateway(Router)라고 판단할 수 있는 시스템의 IP 및 MAC 주소는? 2) 현재 통신이 안되는 원인으로 의심할 수 있는 것은? 2021. 4. 29. Wireshark 활용하기 #18 첨부된 파일을 분석한 후 아래의 질문에 답하시오. 1) 출발지와 목적지 시스템간의 다양한 연결 현황을 보고 확인하고자 한다. IP, TCP, UDP 접속 통계를 설명하시오. 2) 접속을 시도한 목적지 웹서버는 몇개이며 Domain Name은 무엇인가? 3) 전송된 패킷 또는 데이터의 pps, bps 정보는? 2021. 4. 29. Wireshark 활용하기 #17 첨부 파일은 SSH, TELNET(2142 PORT), FTP, HTTP의 Application을 사용할 때의 패킷을 Capture한 것입니다. 세개의 파일을 비교하여 보시오. 18 : TELNET 19 : SSHv2 20 : FTP 21 : HTTP(GET) 22 : HTTP(POST) 2021. 4. 29. Wireshark 활용하기 #16 조직이 아주 커서 하나의 DNS Server로는 모든 클라이언트의 요청을 효율적으로 처리하기가 어려운 상황이 되면 DNS Server를 추가하여야 합니다. 추가되는 DNS Server는 반드시 첫 번째 DNS Server와 동일한 레코드를 가지고 있어야 하다는데 그렇게 동작하기 위해서 Zone Transfer를 이용합니다. 첨부된 파일을 분석하시오. 2021. 4. 29. Wireshark 활용하기 #15 호스트 PC의 CMD 창에서 다음의 명령어를 순서에 따라 입력하면서 Wireshark를 이용해 DNS 패킷만을 Capture하시오. > nslookup > www.netsolsystem.co.kr > set q=mx > netsolsystem.co.kr > set q=ns > netsolsystem.co.kr > set q=ptr > 1.63.126.168.in-addr.arpa > server ns1.google.com > mail.google.com 모든 과정이 Capture되면 Capture를 멈추고 DNS Header에서 AA(Authoritative Answer), Recursion Desired(RD), Recursion Available(RA)와 DNS Recursion Query에 대해서 .. 2021. 4. 29. Wireshark 활용하기 #14 Wireshark를 이용해 DHCP 패킷만을 Capture하고 호스트 PC의 CMD 창에서 ipconfig /renew ipconfig /release ipconfig /renew를 입력한 후 Capture를 멈추고 Capture된 패킷을 분석하시오. Whireshark 패킷 분석을 위해 참고할 사이트 : http://en.wikiversity.org/wiki/Wireshark 2021. 4. 29. Wireshark 활용하기 #13 네트워크 상에서 다양한 종류의 ICMP 패킷을 볼 수 있습니다. 첨부된 파일에 있는 ICMP Packet을 분석하고 설명하시오. ICMP TYPE NUMBERS The Internet Control Message Protocol (ICMP) has many messages that are identified by a "type" field. Type Name Reference ---- ------------------------- --------- 0 Echo Reply [RFC792] 1 Unassigned [JBP] 2 Unassigned [JBP] 3 Destination Unreachable [RFC792] 4 Source Quench [RFC792] 5 Redirect [RFC792] 6 Alt.. 2021. 4. 29. Wireshark 활용하기 #12 TCP는 세션을 연결하고 종료하기 위해 아래와 같은 방법들을 사용합니다. 첨부된 파일을 통해 이 과정을 설명하시오. 1) TCP Connection : 3 Way handshake (Syn/Ack Flag, Sequence, Ack Number, MSS) 2) TCP Close :TCP 해제는 4개의 패킷을 사용 (Fin/Ack Flag) 3) TCP Reset : 연결 시도가 거부되거나 갑자기 연결이 종료되는 경우 2021. 4. 29. Wireshark 활용하기 #11 2계층에는 다양한 데이터 링크 계층 프로토콜이 있습니다. 그리고 시스템이 2계층을 통해 프래임을 전송할 때에는 최대 프래임 크기가 정해져 있습니다.(MTU, Maximum Transmission Unit) 보통 이더넷에서는 기본 MTU가 1500입니다. 그럼 첨부된 파일을 이용해 Packet의 Total Length, IP Flag, Fragment Offset 등의 관계를 설명하시오. 2021. 4. 29. 이전 1 2 다음
