네트워크 패킷 포렌식이란?
네트워크 포렌식과는 다름
네트워크 포렌식 : 컴퓨터 네트워크 트래픽에서 목적 정보를 수집하고, 분석하는 일련의 과정 또는 기술
네트워크 패킷 포렌식 : 종단간 수집된 패킷에 대해 분석하는 기술
활용분야)
네트워크 흐름 파악
네트워크 공격/위협 감지
기업 내부 감사
악성코드의 분석
법적인 측면에서 조금 제한적인 부분
정보 수집에 대해서 법률을 지켜야 함 (통신비밀보호법)
TCP 헤더
각 플래그마다 의미하는 바가 있어 통신상에서 비트의 설정으로 의미를 부여
Port Scan과 같은 공격 유형 판별 시 중요한 정보가 됨
| 플래그 | 설명 |
| SYN | 초기에 세션 설정에 사용 |
| ACK | SYN에 대한 응답 |
| FIN | 세션을 종료시키는데 사용(정상 종료) |
| RST | 재설정(RESET)을 하는 과정에서 사용(비정상 종료) |
| PSH | 대화형 트래픽에 사용되는 것으로 버퍼가 채워지기를 기다리지 않고 데이터를 바로 전달 |
| URG | 긴급 데이터 전송 플래그 |
TCP 3-Way HandShaking
네트워크 통신연결에 있어 가장 기초가 되는 연결 방식
HTTP
현재 가장 광범위하게 사용되는 인터넷 프로토콜
메소드(Method)를 이용해 요청에 대한 행위를 표시하고, URI로 서버 자원에 접근한다.
HTTP Method
현재는 보안 상의 이유로 GET, POST만 사용
| Method | 설명 |
| GET | 지정한 URL에 대한 정보를 요청 |
| POST | 서버에 데이터 처리를 요구할 때 요청 |
| PUT | 지정된 URL에 HTTP 파일을 저장 |
| DELETE | 지정된 URL의 리소스를 삭제 |
| HEAD | 웹 서버에 헤더 정보를 요청, 해당 리소스가 존재하는지 또는 오류가 없는지 확인할 때 사용 |
| OPTIONS | 현재 서버가 지원하고 잇는 메소드 목록을 확인할 때 사용 |
| TRACE | 클라이언ㅌ의 Request를 다시 Return |
네트워크 패킷 포렌식 도구
1. 와이어샤크(WireShark)
유용한 필터링 방법
- 연산자 사용하기
| 연산자 | 설명 |
| AND (논리합) | &&로 표시하며, 양쪽 조건이 모두 만족할 때 결과를 참으로 판명 |
| OR (논리곱) | ||으로 표시하며, 양쪽 조건 주 ㅇ한쪽 조건만 참이어도 결과를 참으로 판명 |
| ! (NOT) | 조건의 역 조건으로 참을 판명 |
2. 네트워크 마이너 (NetworkMiner)
메세지나 파일 카빙시 유용
3. 캡티퍼 (CapTipper)
보고서 생성 기능
패킷 분석 시 나타나는 패킷 형태
FTP, HTTP, Telnet은 평문으로 전송
SMTP, IPOP와 같은 메일전송 프로토콜은 base64 인코딩 후 전송
PortScan과 같은 스캐닝 공격은 일정한 형태를 가지고 있음
PortScan
TCP OPEN Scan
열려 있을 경우 3-Way HandShaking 구조로 나타나지만 닫혀있을 경우 RST/ACK 패킷을 보내게 된다.
TCP Half OPEN Scan
열려있을 경우 3-Way HandShaking 구조와 비슷해보이지만 마지막에 RST 패킷을 보내게 된다. 닫혀있을 경우 위와 같다.
UDP Open Scan
UDP는 비연결지향 패킷으로 열려있을 경우 일방적으로 UDP 패킷만 보내고, 닫혀있을 경우 ICMP 패킷을 보내 응답을 할 수 없다고 알려준다.
ACK Scan
ACK를 보내 Windows Size가 0이 아닐 경우 포트가 열려있는 상태인 것이고, 0일 경우 포트가 닫혀있는 상태이다.
'Forensics' 카테고리의 다른 글
| 포렌식 공부를 하는 이유 (0) | 2022.03.13 |
|---|---|
| KGB - Messenger CTF Challenge (0) | 2021.07.27 |
| NTFS (0) | 2021.02.06 |
| 저장장치 구조 (0) | 2021.02.06 |
| MBR (0) | 2021.02.06 |
댓글