[Network Forensic] Sans Network Forensic [Puzzle 8] #1, #2, #3

Network Forensic #31 (Sans Network Forensic [Puzzle 8] #1)

 

네트워크 포렌식 31번 문제

 

문제 파일로 pcap 파일이 주어진다.

 

Wireshark 도구를 통해 pcap 파일을 열어 확인해보자.

 

Wireshark : 오픈 소스 패킷 분석 프로그램으로 pcap을 이용하여 패킷을 잡아내는 것이 주요 기능

 

다운로드 사이트 : https://www.wireshark.org/download.html

Wireshark · Download

[그림 1] Wireshark 실행 - pcap 파일 오픈

 

파일을 열어보면 무선랜(802.11 프로토콜)을 사용해 통신한 패킷들이 캡처된 것을 확인할 수 있다.

 

첫 번째 패킷을 확인해보면 패킷 info 내용에 SSID가 적혀 있는 것을 확인할 수 있다.

 

자세한 내용 확인을 위해, 패킷 세부 내용을 분석하였다.

 

[그림 2] SSID & BSSID 확인

 

패킷 세부 내용을 확인해보면, SSID와 BSSID를 찾을 수 있다.

 

SSID : 서비스 세트 식별자(Service Set Identifier), 무선랜 상에서 전송되는 패킷의 헤더에 존재하는 고유 식별자

 

BSSID : 기본 서비스 영역 식별자(Basic Service Set Identifier), 무선랜 표준인 802.11에서 48bit BSS를 구분하기 위해 사용

 

따라서 찾은 SSID와 BSSID를 플래그 형식에 맞게 입력하면 문제 해결이 가능하다.

---

Network Forensic #32 (Sans Network Forensic [Puzzle 8] #2)

 

네트워크 포렌식 32번 문제

 

패킷 캡처의 시작 시간부터 종료 시간까지 얼마나 걸렸는지에 대한 문제이다.

 

분석 방법은 매우 간단하다.

 

우선 Wireshark 도구의 마지막 패킷으로 이동해보자.

 

[그림 3] Wireshark 마지막 패킷 캡처 시간 확인

 

위 화면은 마지막 패킷의 Time 정보이다.

 

마지막 패킷의 Time 정보를 확인하면 첫 패킷 캡처 시간부터 마지막 패킷의 캡처 시간까지의 걸린 시간을 확인할 수 있다.

 

다른 문제들보다는 좀 간단하게 풀 수 있는 문제이다.

---

Network Forensic #33 (Sans Network Forensic [Puzzle 8] #3)

 

네트워크 포렌식 33번 문제

 

우선 암호화 된 데이터 프레임 확인을 위해서는 Wireshark 필터링 기능을 이용한다.

 

WEP으로 암호화 된 데이터 프레임 패킷은 Data Frame 영역에 protected flag가 1로 되어 있다.

 

따라서 Data Frame 영역을 찾기 위해 [wlan.fc.type_subtype == 20]을 적용해서 Data Frame 영역을 지정하고, [wlan.fc.protected == 1]을 적용해 protected flag가 1인 패킷들을 확인하면 된다.

 

[그림 4] Wireshark 필터 적용 내용

 

 

[그림 5] WEP으로 암호화 된 패킷 확인

 

필터링 결과, 위 화면과 같이 하단의 Displayed를 확인해보면 총 패킷 수와 현재 창에서 보이는 패킷의 개수를 확인할 수 있다.

 

따라서 필터를 적용한 현재 창에서 보이는 패킷의 개수가 WEP으로 암호화 된 데이터 프레임이다.

 

위 화면에서 보이는 개수를 플래그로 입력해주면 문제를 해결할 수 있다.

---

# Reference

 

http://www.yes24.com/Product/Goods/59156934