Wireshark packet analysis - 와이어샤크 패킷 분석

Wireshark

ARP (Address Resolution Protocol)

: 목적지 IP 주소에 대한 MAC 주소를 조회하는 프로토콜

- Request : 패킷을 전송하고자 하는 호스트(PC 또는 라우터)가 전체에게 보냄 (Broadcast)

- Reply : Target으로 지정된 IP에 해당하는 호스트 물어본 호스트에게 전송 (Unicast)

: Reply를 받으면 ARP Cache Table에 보관하게 됨 (300초 동안 보관 이후에는 사용할 때마다 갱신)

 

Broadcast : 모든 비트가 1로 되어 있음 (같은 네트워크에 있는 모든 호스트에게 전송)

ex) ff:ff:ff:ff:ff:ff, 255.255.255.255

Wireshark를 이용한 ARP 과정

ARP(Protocol)가 Broadcast로 도착하는 것(Destination)을 확인할 수 있습니다.

 

* DHCP :IP를 할당받지 못한 호스트가 IP를 요청할 때 사용

 

3-Way Handshaking

: TCP가 데이터를 전송하기 전 먼저 연결 설정을 하는 과정

- Client가 SYN를 보냄  ->  Server는 SYN을 받으면 ACK/SYN를 보냄 -> Client는 ACK/SYN를 받으면 ACK를 보내서 연결 설정 완료

Wireshark을 이용한 3-Way Handshaking 과정

과정을 보면 21번 Port에 연결하려고 하는 것을 알 수 있으며, 5, 8, 9번 패킷을 보면 SYN과 ACK의 현황을 확인할 수 있습니다.

 

4-Way Termination

: 연결을 종료하는 과정

- Client와 Server가 각각 FIN를 보내고, 답변으로 ACK를 보내면 연결이 끊깁니다.

Wireshark을 이용한 4-Way Termination 과정

과정을 보면 32, 34번 패킷에서 FIN를 보내고 33, 35번 패킷에서 답변으로 ACK를 보내는 것을 확인할 수 있습니다.

 

FTP Data : 20번 Port 사용

FTP 명령어 : 21번 Port 사용

 

FTP Login ID, PW Information

FTP Login 계정의 ID (14번 패킷), PW (18번 패킷) 확인

14번 패킷 선택 - 우클릭 - Follow - TCP Stream

40번 패킷 PWD, 41번 패킷 현재 디렉토리

- 14번 패킷을 확인하면 USER(ID)와 PASS(비밀번호)를 확인할 수 있습니다.

- 두 번째 사진의 설명과 같이 TCP Stream을 확인하게 되면 붉은 글씨는 Client -> Server, 파란 글씨는 Server -> Client임을 알 수 있습니다.

- PWD : 현재 위치를 물어보면(40번 패킷), /home/blackpink라는 디렉토리(41번 패킷)에 있음을 알 수 있습니다.

- 가장 상단 Title Bar를 보면 tcp.stream eq 0이라고 적혀 있는데 TCP의 묶음이 0번 (하나의 대화)인 것을 알 수 있고

tcp.stream eq 1이라면 묶음이 1번이라는 것을 알 수 있습니다.

- 이 방식은 Dictionary Attack 방식에 취약하기 때문에 사용하지 않고 있습니다.

 

실습

3-Way Handshaking Search

1, 4, 5번 패킷