10.42.42.253
패킷을 보면 스캔할 때 흐름이 다음과 같은 줄 알았다.
- SYN만 보내고
- 열려있는 포트가 있다면 아무 응답도 없다.
- 열려있는 포트가 없다면 RST+ACK를 받는다.
그런데 자세히 보면 처음 부분에는 열려있는 포트가 없기때문에 SYN, RST+ACK밖에 안보이는데,
마지막 부분에 가면 3-way handshaking을 하는 것을 볼 수 있다. 따라서 위의 흐름은 틀렸다.
- SYN을 보내고
- 열려있는 포트라면 3-way handshaking
- 닫혀있는 포트라면 RST+ACK
3-way handshaking을 성립했으므로 TCP Connect 가 정답이다.
여태 나온 포트스캔 목적지 적으면 된다.
10.42.42.25, 10.42.42.50, 10.42.42.56
00:16:cb:92:6e:dc
10.42.42.25, 10.42.42.50, 10.42.42.56 이 세 후보 중, Apple인 10.42.42.25를 제외하면
남은 후보는 10.42.42.50, 10.42.42.56
[**] Windows 시스템의 네트워크 특징을 이용해 확인한다.
Windows의 ICMP 패킷의 TTL은 보통 128로 설정된다.
그러므로 답은 10.42.42.50
혹은 networkMiner로 바로 확인가능하다.
networkMiner에서 확인 가능
135,139
'워게임 > CTF-D' 카테고리의 다른 글
| [Network] Sans Network Forensic [Puzzle 8] #1~#9 (0) | 2021.12.08 |
|---|---|
| [Network] Sans Network Forensic [Puzzle 7] (0) | 2021.12.08 |
| [Network] Sans Network Forensic [Puzzle 3] #1~#8 (0) | 2021.12.07 |
| [Network] 특정 위치에 무선 트래픽이 포함된... (0) | 2021.12.07 |
| [Network] 나는 힉스 입자가 발견되지 않을 것이라고… (0) | 2021.12.06 |
댓글