2013년 11월 1일 금요일

[Network] 패킷 분석

====================
 Wireshark
====================


0. Stream filter

tcp.stream eq 14

1. Protocol filter

snmp || dns || icmp || http

* SNMP(Simple Network Management Protocol) : 네트워크 장비를 관리 감시하기 위한 목적, 네트워크 관리자가 네트워크 성능을 관리하고 네트워크 문제점을 찾아 수정하는데 도움
* DNS(Domain Name System) :  도메인 이름을 호스트의 네트워크 주소로 바꾸거나 그 반대의 변환을 수행할 수 있도록 하기 위해 개발
* icmp(Internet Control Message ProtocolInternet Control Message Protocol) : 네트워크 컴퓨터 위에서 돌아가는 운영체제에서 오류 메시지를 전송받는 데 주로 쓰임

2. IP filter

ip.addr == 10.1.1.1 (Source & Destination)

ip.src != 10.1.2.3 or ip.dst != 10.4.5.6
ip.dst == 10.36.115.40
ip.src != 10.1.2.3 and ip.dst != 10.4.5.6

ip.addr==174.137.42.75 and ip.addr==10.36.115.40 (to look up the conversation)

4. Port filter

tcp.port == 25 (Source & Destination)
tcp.dstport == 25
tcp.srcport == 80
tcp.flags

4. TCP filter

tcp.flags.syn : 세션을 설정하는 데에 사용되며 초기에 시퀀스 번호를 보냄
tcp.flags.ack :

5. Search

http.host contains google

ctrl + f > string search -> packet list, packet details, packet bytes
ctrl + n > next search
ctrl + b > previous search

----------------------------------------

1. File > Export Objects > HTTP

http 소스, 이미지 등의 파일 리소스 추출

2. Content -Encoding: gzip

.gz 으로 저장해서 압축을 풀어 확인    

3. File > Export Specified packet > 하단 Packet Range 에서 Displayed 선택 후 저장

필터링 된 패킷을 다시 분석하고 싶을때


====================
 Malzilla
====================

1. Misc Decoders > USC2 To Hex

유니코드를 hex로 변환

2. Hex View -> 악성 javascript 분석

string to find : http 

Key : bd (xor)


====================
 NetworkMiner
====================



호스트 리스트를 한눈에 볼 수 있고, 파일이나 이미지 목록을 바로 받아볼 수 있는 장점

필터를 자유롭게 걸 수 없다는 단점


====================
 TCP
====================

1. 방화벽으로 인해서 해당 페이지에 접근은 차단

- 3 Way hand shake -

서비스 port 가 열려 있을 경우 SYN+ACK 패킷 회신 후 ACK 를 전송

서비스 port 가 닫혀 있는 경우 RST+ACK 패킷을 회신



Wireshark에서는 RST ACK 이 빨간색으로 나타남

RST ACK 만 확인하고 싶으면 tcp.flags.reset ==1 로 필터링



댓글 없음:

댓글 쓰기