-
Wireshark packet analysis - 와이어샤크 패킷 분석Security 2022. 5. 4. 03:59
ARP (Address Resolution Protocol)
: 목적지 IP 주소에 대한 MAC 주소를 조회하는 프로토콜
- Request : 패킷을 전송하고자 하는 호스트(PC 또는 라우터)가 전체에게 보냄 (Broadcast)
- Reply : Target으로 지정된 IP에 해당하는 호스트 물어본 호스트에게 전송 (Unicast)
: Reply를 받으면 ARP Cache Table에 보관하게 됨 (300초 동안 보관 이후에는 사용할 때마다 갱신)
Broadcast : 모든 비트가 1로 되어 있음 (같은 네트워크에 있는 모든 호스트에게 전송)
ex) ff:ff:ff:ff:ff:ff, 255.255.255.255
ARP(Protocol)가 Broadcast로 도착하는 것(Destination)을 확인할 수 있습니다.
* DHCP :IP를 할당받지 못한 호스트가 IP를 요청할 때 사용
3-Way Handshaking
: TCP가 데이터를 전송하기 전 먼저 연결 설정을 하는 과정
- Client가 SYN를 보냄 -> Server는 SYN을 받으면 ACK/SYN를 보냄 -> Client는 ACK/SYN를 받으면 ACK를 보내서 연결 설정 완료
과정을 보면 21번 Port에 연결하려고 하는 것을 알 수 있으며, 5, 8, 9번 패킷을 보면 SYN과 ACK의 현황을 확인할 수 있습니다.
4-Way Termination
: 연결을 종료하는 과정
- Client와 Server가 각각 FIN를 보내고, 답변으로 ACK를 보내면 연결이 끊깁니다.
과정을 보면 32, 34번 패킷에서 FIN를 보내고 33, 35번 패킷에서 답변으로 ACK를 보내는 것을 확인할 수 있습니다.
FTP Data : 20번 Port 사용
FTP 명령어 : 21번 Port 사용
FTP Login ID, PW Information
- 14번 패킷을 확인하면 USER(ID)와 PASS(비밀번호)를 확인할 수 있습니다.
- 두 번째 사진의 설명과 같이 TCP Stream을 확인하게 되면 붉은 글씨는 Client -> Server, 파란 글씨는 Server -> Client임을 알 수 있습니다.
- PWD : 현재 위치를 물어보면(40번 패킷), /home/blackpink라는 디렉토리(41번 패킷)에 있음을 알 수 있습니다.
- 가장 상단 Title Bar를 보면 tcp.stream eq 0이라고 적혀 있는데 TCP의 묶음이 0번 (하나의 대화)인 것을 알 수 있고
tcp.stream eq 1이라면 묶음이 1번이라는 것을 알 수 있습니다.
- 이 방식은 Dictionary Attack 방식에 취약하기 때문에 사용하지 않고 있습니다.
실습
3-Way Handshaking Search
'Security' 카테고리의 다른 글
Backdoor, Trojan Horse, WebDAV, Cadaver, Bee-Box - 백도어, 트로이 목마 WebDAV, Cadaver 사용 Bee-Box 문제 풀이 (0) 2022.05.12 SQL Injection, HTML, Windows Server 2003 Hacking - SQL 인젝션, HTML, 윈도우 서버 2003 해킹 (0) 2022.05.09 Web (0) 2022.05.07 attack using Metasploitable2 - 메타스플로잇을 이용한 공격 (0) 2022.05.04 VMware Error - 비정상적인 PC 종료로 인한 부팅 불가 (0) 2022.05.03