네트워크9 상위 프로토콜 지시자 와이어 샤크로 패킷을 뜯어보면 프로토콜 번호가 있는 것을 볼 수 있다. 아래는 잘 알려진 프로토콜의 정보들이다. 프로토콜 번호(4계층) 프로토콜 번호 프로토콜 1 ICMP(Internet Control Message) 2 IGMP(Internet Group Management) 6 TCP(Transmission Control) 17 UDP(User Datagram) 50 ESP(Encap Security Payload) 51 AH(Authentication Header) 58 IPv6용 ICMP 133 FC(Fibre Channel) 포트 번호(3계층) 포트 번호 서비스 TCP 20, 21 FTP(File Transfer Protocol) TCP 22 SSH(Secure Shell) TCP 23 TELN.. 2022. 2. 10. CapTipper를 이용한 pcap파일 분석 CapTipper란? CapTipper는 HTTP 악성 트래픽을 분석할 수 있는 python 도구이다. pcap파일을 분석하면 명령어를 입력할 수 있는 콘솔이 나오고 실제 연결된 웹 페이지를 가상환경에서 들어가볼 수 있다. 같은 기능을 하는 툴로 wireshark가 있다. 이번에 둘 다 사용해본 결과 각자의 장단점이 있겠지만, CapTipper가 빠르게 분석하는데 더 좋은 것 같다. - CapTipper GitHub GitHub - omriher/CapTipper: Malicious HTTP traffic explorer GitHub - omriher/CapTipper: Malicious HTTP traffic explorer Malicious HTTP traffic explorer. Contribute.. 2021. 9. 16. 네트워크 패킷 분석 - WokeMountain 시나리오, IDS Alert 기반으로 pcap 분석 진행 TASK - when, who, what의 내용이 포함된 보고서 작성 - IOC(침해 지표)작성 : 의심 가는 IP들, 그들의 활동 내용 - 피해자에 대한 정보 작성 IDS Alert 우선 IDS Alert 분석을 진행하였는데, 하나하나 자세한 해석은 하지 못했다. 하지만 여기서 얻어낸 것은 조사해야 할 ip들, 대충 어떤 malware를 탐지했는지에 대한 내용들이었다. 10.1.21.101이 시나리오 상의 ip범위에 속하기 때문에 피해자 ip라고 생각할 수 있었음 패킷 분석 사용자 정보 수집 (10.1.21.101) Kerberos traffic을 분석하면 쉽게 정보 수집이 가능하다. wireshark에 있는 display filter 사용은 필.. 2021. 6. 27. 이전 1 2 다음 728x90
