[Network Forensic] Sans Network Forensic [Puzzle 3] #1, #2

Network Forensic #16 Sans Network Forensic [Puzzle 3] #1

 

네트워크 포렌식 16번 문제

 

문제 파일로 evidence03.pcap 파일이 주어진다.

 

Wireshark로 주어진 파일을 확인하였다.

 

[그림 1] 패킷 확인

 

첫 번째 패킷의 Source IP(192.168.1.10)를 통해 Apple TV의 주소를 확인할 수 있다.

 

[그림 2] 세부 내용 확인

 

첫 번째 패킷의 밑에 세부 내용을 확인해보면, Src의 MAC 주소를 확인할 수 있다.

 

파란색으로 드래그 된 MAC 주소를 플래그로 입력하면 1번 문제를 해결할 수 있다.

---

Network Forensic #17 Sans Network Forensic [Puzzle 3] #2

 

네트워크 포렌식 17번 문제

 

이전 문제에서 제시한 파일을 가지고, 8번까지 계속해서 푸는 문제이다.

 

[그림 3] HTTP 패킷 확인

 

AppleTV의 HTTP 요청 User-Agent를 확인하기 위해 HTP 패킷을 확인해야 한다.

 

그러므로 AppleTV의 HTTP 패킷을 확인하였다.

 

6번 패킷을 HTTP 패킷으로 확인이 가능하며, 자세한 분석을 위해 Follow TCP Stream 기능을 활용하여 확인한다.

 

[그림 4] 패킷 내용 확인

 

패킷 내용을 확인해보면 AppleTV의 User-Agent를 확인할 수 있고, 2번 문제를 해결할 수 있다.

---

# Reference

 

http://www.yes24.com/Product/Goods/59156934