Network Forensic #27 (Sans Network Forensic [Puzzle 4] #4)

 

네트워크 포렌식 27번 문제

 

이전에 1번부터 3번까지 풀은 문제 파일로 계속해서 풀어나가는 문제이다.

 

저번 문제처럼 해당 pcap파일을 Wireshark로 열어준다.

 

Wireshark : 오픈 소스 패킷 분석 프로그램으로 pcap을 이용하여 패킷을 잡아내는 것이 주요 기능

 

다운로드 사이트 : https://www.wireshark.org/download.html

 

Wireshark · Download

Riverbed is Wireshark's primary sponsor and provides our funding. They also make great products that fully integrate with Wireshark. I have a lot of traffic... ANSWER: SteelCentral™ AppResponse 11 • Full stack analysis – from packets to pages • Rich perfor

www.wireshark.org

이번에는 Apple 시스템의 MAC 주소를 찾는 문제이다.

 

앞에서 설명한 10.42.42.25, 10.42.42.50, 10.42.42.56 3개의 IP 주소들을 확인해보면 된다.

 

[그림 1] Apple 시스템에 해당하는 MAC 주소 확인

 

10.42.42.25 IP 주소를 확인해보면 위 화면과 같이 Apple 시스템에 해당하는 MAC 주소를 확인할 수 있다.

 

화면에서 보이는 것처럼, 해당 MAC 주소를 플래그로 입력해주면 쉽게 해결할 수 있는 문제이다.

Network Forensic #28 (Sans Network Forensic [Puzzle 4] #5)

 

네트워크 포렌식 28번 문제

 

앞에 4번 문제에서 확인한 Apple 시스템에 해당하는 IP 주소인 10.42.42.25를 제외한 나머지 두 개의 IP 주소 중에 연결된 IP 주소를 확인하면 된다.

 

Wireshark의 필터를 이용해서 Windows와 연결된 흔적을 확인하였다.

 

[그림 2] Wireshark 필터 기능

 

검색해서 확인한 결과, 10.42.42.56에서는 연결된 흔적을 찾을 수 없었지만, 위 화면과 같이 10.42.42.50을 검색하여 연결된 흔적을 발견할 수 있었다.

 

[그림 3] IP 주소 10.42.42.50 연결 확인

 

Windows 시스템이라는 것을 확정짓기 위해 Windows 시스템의 네트워크 특징을 이용해 확인할 수 있다.

 

Windows의 ICMP 패킷의 TTL은 보통 128로 설정된다.

 

그렇기 때문에, ICMP의 TTL 값을 Wireshark 필터에 [icmp && ip.ttl == 128]을 사용해 확인하면 다음과 같이 출력된다.

 

[그림 4] ICMP의 TTL 확인

 

※ 운영체제별 ICMP TTL

  • Windows : 128

  • Linux : 255

  • MAC : 64

 

또한, 다른 방법으로 NetworkMiner를 통해 분석하는 방법도 있다.

 

NetworkMiner : 네트워크 포렌식 분석 도구로써 사용하는 운영체제나 세션, 호스트 이름, 열려있는 포트 정보 탐지 기능 등 상세한 정보를 얻을 수 있는 도구

 

다운로드 사이트 : https://www.netresec.com/index.ashx?page=NetworkMiner

 

NetworkMiner - The NSM and Network Forensics Analysis Tool ⛏

Network Miner is a network forensics tool for analyzing network traffic

www.netresec.com

 

[그림 5] 네트워크 마이너 실행 - OS 확인

 

NetworkMiner를 실행한 후에 Hosts 목록에서 Windows 시스템이라는 것을 확인할 수 있다.

 

따라서 확인한 IP 주소를 플래그로 입력하게 되면 문제를 해결할 수 있다.

Network Forensic #29 (Sans Network Forensic [Puzzle 4] #6)

 

네트워크 포렌식 29번 문제

 

Sans Network Forensic [Puzzle 4]의 마지막 문제이다.

 

위 5번 문제에서 확인했던 Hosts 탭을 확인해보면 열려 있는 TCP 포트 번호에 대한 정보 확인이 가능하다.

 

[그림 6] 네트워크 마이너를 통한 포트 확인

 

플래그에서 제시하는 포맷에 맞게 낮은 번호순으로 플래그를 입력하면 쉽게 해결이 가능하다.

 

6번 문제를 끝으로 Sans Network Forensic [Puzzle 4] 풀이를 마친다.

# Reference

 

http://www.yes24.com/Product/Goods/59156934

저작자표시

'Digital Forensics > CTF-D' 카테고리의 다른 글

[Network Forensic] Sans Network Forensic [Puzzle 8] #1, #2, #3  (0) 2020.03.13
[Network Forensic] Sans Network Forensic [Puzzle 7]  (0) 2020.03.13
[Network Forensic] Sans Network Forensic [Puzzle 4] #1, #2, #3  (0) 2020.03.12
[Disk Forensic] Please get my key back!  (0) 2020.03.11
[Disk Forensic] IU는 악성코드에 의해 감염된...  (0) 2020.03.11

+ Recent posts

티스토리툴바