전체 글345 ARP 스푸핑 정리 ARP IP주소를 MAC주소로 바꿔주는 역할 주소 해석 프로토콜 핵심 ARP 캐시 테이블 위조 같은 네트워크 안에서 이뤄지는 공격 ARP cache poisoning 도청 공격 과정 공격자는 ARP 프로토콜을 이용해 희생자의 MAC주소와 웹서버의 MAC 주소를 알고자 동일 대역에 무차별적으로 ARP 패킷을 날린다. 희생자와 웹서버의 MAC주소를 안 공격자는 이를 자신의 ARP 테이블에 저장한다. 다음으로 희생자 PC가 웹서버의 ARP 요청 프로토콜을 broadcast하여 동일 네트워크에 있는 PC들에게 물어본다. 이에 웹서버는 ARP 응답 패킷을 보내 웹서버의 MAC 주소를 보낸다. 고격자는 이를 지켜보고있다가 방금 전의 패킷에 대해 다시 한 번 응답 패킷을 전송한다. -> 공격자 자신의 MAC주소를 보.. 2021. 12. 9. [Network] Sans Network Forensic [Puzzle 8] #1~#9 [*] 필요 지식 https://uiyoji-journal.tistory.com/28 [네트워크 스터디] 9 무선 랜 이해하기(무선 액세스 포인트, 무선 클라이언트, 무선 랜의 규격, 채 무선 랜 무선랜이란 랜 케이블을 사용하지 않고, 전파나 자외선을 이용해 컴퓨터 통신을 가능하게 하는 네트워크 방식이다. 개요 무선 랜 통신에는 랜 케이블이 필요 없다. 무선 랜 연결 방식 인 uiyoji-journal.tistory.com SSID : Service Set Identifier, 무선랜 상에서 전송되는 패킷의 헤더에 존재하는 고유 식별자 BSSID : Basic Service Set Identifier, 무선랜 표준인 802.11에서 48bit BSS를 구분하기 위해 사용 beacon 패킷의 구조를 통해 .. 2021. 12. 8. [Network] Sans Network Forensic [Puzzle 7] 무선랜이다. 무선랜의 경우, 보통 패킷이 암호화되어있기 때문에 aircrack-ng를 사용한다. [*] aircrack-ng 무선랜 패킷 파일에 대한 종합 분석 도구 monitoring/ attacking/ testing/ cracking 등 다양한 기능이 있다. 암호 키를 알았으니, 이제 복호화하면 된다. airdecap-ng.exe -w 4A:7D:B5:08:CD evidence-defcon2010.pcap 복호화된 pcap 파일 생성 IMAP는 메일 프로토콜 아닝교! 바로 follow tcp stream base64 디코딩하려고 보니까 missing in capture file.... 현재 패킷을 통해서는 첨부 파일 복원을 할 수 없다. SMTP도 확인해본다. follow tcp stream해보니까.. 2021. 12. 8. TCP 포트 스캔 정리 TCP Connect 스캔 - 3 way handshaking을 맺기때문에 상대방 로그에 남는다. TCP Stealth 스캔 TCP (SYN)half open 스캔 - 3 way handshaking 과정 완료되지 않게 한다. 로그가 남지 않는다. TCP FIN/Xmas/NULL 스캔 - 열려있는 포트 : 아무 패킷도 응답하지 않는다. - 열려있지 않은 포트 : RST-ACK 패킷 응답 (1) TCP FIN Scan : TCP 헤더 내에 FIN 플래그를 설정하여 전송 (2) TCP NULL Scan : TCP 헤더 내에 플래그 값을 설정하지 않고 전송 (3) TCP XMAS Scan : TCP 헤더 내에 플래그 값을 모두 설정하거나 일부 값을 설정하여 전송 TCP ACK 스캔 - 포트의 오픈 여부를 판단.. 2021. 12. 8. [Network] Sans Network Forensic [Puzzle 4] #1~#6 10.42.42.253 패킷을 보면 스캔할 때 흐름이 다음과 같은 줄 알았다. - SYN만 보내고 - 열려있는 포트가 있다면 아무 응답도 없다. - 열려있는 포트가 없다면 RST+ACK를 받는다. 그런데 자세히 보면 처음 부분에는 열려있는 포트가 없기때문에 SYN, RST+ACK밖에 안보이는데, 마지막 부분에 가면 3-way handshaking을 하는 것을 볼 수 있다. 따라서 위의 흐름은 틀렸다. - SYN을 보내고 - 열려있는 포트라면 3-way handshaking - 닫혀있는 포트라면 RST+ACK 3-way handshaking을 성립했으므로 TCP Connect 가 정답이다. 여태 나온 포트스캔 목적지 적으면 된다. 10.42.42.25, 10.42.42.50, 10.42.42.56 00:1.. 2021. 12. 7. [Network] Sans Network Forensic [Puzzle 3] #1~#8 00:25:00:fe:07:c4 AppleTV/2.4 h, ha, hac, hack No.279에서 xml을 추출해보면 영화 리스트를 볼 수 있다. titleHackers titleHacking Democracy titleActors & Directors . . HTTP에 집중하면서 좀 내리다보면 다음을 발견 아까 얻은 xml에서 해당 id(333441649) 검색 Hackers 의 응답 패킷 찾아서 xml 추출 후 preview 검색 http://a227.v.phobos.apple.com/us/r1000/008/Video/62/bd/1b/mzm.plqacyqb..640x278.h264lc.d2.p.m4v 의 응답패킷 Sneakers #6에서의 xml에서 찾을 수 있다. $9.99 스크롤 제일 아래로 내.. 2021. 12. 7. 이전 1 ··· 16 17 18 19 20 21 22 ··· 58 다음
