오늘은 ACTIVE_FTP 샘플을 이용해서 FTP가 어떻게 통신하는지 알아보았다. 우선 Statistics에 들어가서 Conversations을 들어간다. 들어가서 Address A를 정렬하면 다음과 같은 화면을 볼 수 있는데 포트번호 21번, 20번을 보고 FTP 통신을 하고 있다는 것을 알 수 있다. 또, 121.63.98.130이 서버고 121.63.98.128이 클라이언트라는 것을 알 수 있다. 좀 더 분석하기 위해서 다음과 같이 클릭한다. 그러면 위와같은 화면을 볼 수 있다. TCP기반 통신이므로 SYN, SYN+ACK, ACK 3웨이핸드쉐이커를 했다는 것을 확인할 수 있다. 3웨이핸드쉐이커가 끝나고 위에서 4번째 줄에 FTP베너를 확인할 수 있다. 처음 FTP를 접속했을때 클라이언트에게 해당 ..
와이어 샤크를 이용해서 패킷을 분석해보자. 목표 1. 공격자의 IP 주소는? 2. 공격자가 서비스에 접속하기 위해 사용한 계정 정보는? 3. 공격자가 공격하기 위해 사용한 대상 주소 URL은? 4. 공격자가 사용한 파일 이름은? 5. 공격자가 획득한 개인 정보는? 6. 공격자가 시스템에 침투한 후에 실행한 명령어는? 우선 저번 와이어 샤크 사용법처럼 통계를 켜서 분석을 할 것이다. TCP(Transport Control Protocol) 쪽의 퍼센트가 높은 것으로 확인이 된다. 그중에서도 http 쪽의 퍼센트가 높은 것 역시 확인이 된다. Multipart Media Encapsulation부분이 적은 것을 보고 큰 파일들을 올린 것은 아니다. 하지만 파일이 존재하므로 어떤 정보 파일이나 어떤 파일들이 ..
패킷 분석은 여러 부분에서 많이 사용한다. 1. 모의해킹은 취약점 분석할 때 2. 악성코드 분석할 때(실시간적으로 발생하는 패킷들을 분석할 때 사용) 3. 침해사고 분석, 포렌식 분석할 때 이렇게 분석을 해야 할 때 와이어 샤크를 대표적으로 많이 이용하게 된다. 패킷을 분석하는 법을 알아보자. 우선 프로토콜 정보를 알아보자. 이렇게 프로토콜들의 통계를 확인할 수 있다. 현재 TCP가 많이 사용되고 있는 것을 알 수 있다. 좀 더 상세한 통계을 보도록 하자. (http 통계) 웹에 들어가지 않았기 때문에 아무것도 카운터가 되지 않았다. (사용법만을 기록) 여기서 5xx대 에러가 많이 발생하면 sql인젝션 등의 형태가 많이 나왔다고 보면 된다. 4xx대 에러가 많이 발생하면 디렉터리 검사 같은 거나 어떤 백..