[150810] 와이어샤크를 통한 패킷 분석

[150810] 와이어샤크를 통한 패킷 분석

 

와이어샤크는 네트워크 상에 흐르는 패킷을 캡쳐하여 그 내용을 분석할 수 있도록 편의를 제공하는 아주 강력한 GUI 기반 툴이다.

이 카테고리에서 진행할 내용은 주로 모의해킹대회나 사이트에서 제공하는 문제를 풀어보는 방식으로 진행하려고 한다!

 

첫 번째는 KISA에서 제공하는 정보보안훈련 과정 중 하나인 Network 보안 항목

 

"pcap 파일 분석"

 

문제에 대해서 풀어볼 예정이다!

 

와이어샤크에 대한 개념밖에 숙지하지 못한 나는 첫 번째 문제부터 엄청 헤매고 결국 답지를 봐버렸다..

 

찾는 과정에 있어서 그저 입만 벌어졌을뿐 (...ㅠㅠ)

 

와이어샤크와 네트워크 계층에 대한 이해도 물론 중요하지만

 

와이어샤크 자체 기능에 빠삭하다면 이런 류의 문제들은 쉽게 풀 수 있지 않을까 ! (...)

 

어쨌든 첫 번째 문제이다.

 

 

 

1. 패킷 파일에서 인증키를 추출해라 !

 

 

 

 

처음 문제를 받고 와이어샤크로 pcap 파일을 열었을 때 오른쪽의 스크롤바를 보고 정말 막막했다.

 

이 정도로 방대한 패킷을 어떻게 분석하라는거지...

 

네트워크 보안에 관해선 지식이 전무한 내가

 

혼자 풀어보겠다고 나름 이리저리 뒤져봤다.

 

머리가 나쁘면 몸이 고생한다고...

 

와이어샤크에는 패킷을 정렬하는 다양한 필터가 존재한다.

 

 

 

[Statstics -> Conversation]

 

두 호스트 간의 연결 내용을 간략히 정리해주는 기능이라고 한다.

 

TCP 통신 탭으로 이동해서 패킷 하나하나 뒤적거리다보면

 

 

 

포트번호 6664로 통신했던 패킷에서 뭔가 알아들을 수 있을 것 같은 평문들이 존재한다

 

여기서 나오는 IRC는 인터넷 릴레이 채팅이라고 하는데, 이쪽의 포트번호가 6664 라고한다

 

어쨌든... 그렇게 평문을 쭉 읽어나가다 보면 가장 아래에서

 

my.txt 가 필요할거라면서 my.zip이라는 파일을 보낸다.

 

그러면 이 패킷 캡쳐 파일 안에 zip 파일이 존재한다는 이야기와 같다.

 

zip을 찾아내면 되는데, 그냥 검색에 zip이라고 검색하면 당연히 찾기 어렵다

 

zip 파일은 Hex 코드로

 

50 4B 03 04

 

라고 하니, 이를 Find Packet 으로 찾아보면

 

 

 

한 패킷이 찍히는데, 이를 Follow Stream 해보면

 

다음과 같은 코드가 적혀있다. my.txt 라는 내용이 있는 걸보니 맞게 찾은 듯 싶다.

 

이 내용을 zip 형식으로 저장시키면

 

my.txt 파일을 압축 풀기로 얻을 수 있고, 그 안에는 인증키가 적혀있다 !

 

.....신기했다.