사이버 가디언즈 포렌식 특강 (네트워크 패킷 포렌식

-네트워크 포렌식-

정보의 분류

- IDS/IPS와 방화벽 로그

- HTTP, FTP, 이메일, 그 밖에 서버 로그

- 네트워크 애플리케이션 로그

- HDD 상의 네트워크 트래픽 아티팩트

- 패킷 스니퍼나 네트워크 포렌식 도구에 의해 수집된 라이브 트래픽

- 라우팅 및 ARP 테이블 정보, 포트 스캔 정보, SNMP 메시지

-네트워크 패킷 포렌식-

TCP 헤더

플래그	설명
SYN	초기에 세션 설정에 사용 됨
ACK	SYN에 대한 응답
FIN	세션을 종료시키는데 사용(정상종료)
RST	재설정을 하는 과정에서 사용(비정상 종료)
PSH	대화형 트래픽에 사용되는 것으로 버퍼가  채워지기를 기다리지 않고 데이터를 바로 전달
URG	긴급 데이터 전송 플래그

#SYN, ACK, FIN, RST는 꼭 기억

HTTP Method

Method	설명
GET	지정한 URL에 대한 정보를 요청
POST	서버에 데이터 처리를 요구할 때 사용(서버의 특정 값이나 서버의 상태를 변경 할 때 사용)
PUT	지정된 URL의 리소스를 삭제
DELETE	지정된 URL의 리소스를 삭제
HEAD	웹 서버에 헤더 정보를 요청, 해당 리소스가 존재하는지 또는 오류가 없는지 확인할 때 사용
OPTIONS	현재 서버가 지원하고 있는 메소드 목록을 확인 할 때 사용
TRACE	클라이언트의 Request를 다시 Return

#현재는 보안상의 이유로 GET, POST만 사용함 (서버에서 원하면 변경 가능)

-네트워크 패킷 포렌식 도구-

네트워크 마이너(NetworkMiner)

-Network Forensics을 위한 목적으로 만들어진 네트워크 포렌식 도구

-다양한 파싱 기능을 지원

-네트워크 패킷 캡쳐 기능 지원

캡티퍼(CapTipper)

- Python으로 제작된 악성 트래픽 분석 도구

- 디지털 포렌식 분석을 하기 위한 기본 기능을 제공

- 트래픽 내에서 파일 추출

- 트래픽 흐름 분석

캡티퍼 사용법

cmd로 Captipper.py 주소를 넣고 뒤에 패킷파일을 넣는다

- info (패킷번호) : 패킷 정보

- body (패킷번호) : 본문내용 확인 가능

- strings (패킷번호) : 해당패킷에 있는 문자열들 출력

- hexdump (패킷번호) : 패킷의 HEX값을 출력

- dump (패킷번호?) c:\(파일명) -e : 패킷을 덤프뜸 

무선랜 암호화 방식 WEP의 Key는 보통 64bit

-네트워크 패킷 포렌식 분석-

TCP Open Scan

포트가 열려있을때 서버의 응답 = SYN/ACK

포트가 닫혀있을때 서버의 응답 = RST/ACK

#3way-handshaking

사용자 -SYN-> 서버

사용자 <-SYN/ACK- 서버

사용자 -ACK-> 서버

TCP Half Open Scan

포트가 열려있을때 서버의 응답 = SYN/ACK

포트가 닫혀있을때 서버의 응답 = RST/ACK -> 공격자가 RST 패킷 보냄

UDP Open Scan

포트가 열려있을때 서버의 응답 = 없음

포트가 닫혀있을때 서버의 응답 = 

Stealth Scan

- FIN, X-mas, NULL 스캔으로 구성

- FIN : Fin Flag만 활성화

- X-mas : 모든 Flag 활성화

- NULL : 모든 Flag qlghkftjdghk

- TCP Flag 값을 조작하여 스캔을 시도