Wireshark로 Ddos pcap파일 분석을 해봅시다. 이 방법외에 수많은 방법이 있을 수도 있으며 더 나은 방법이 있을 수도 있습니다. 자세히 알고 있거나 그런 자료를 본적이 있으신분은 댓글로 알려주시면 감사하겠습니다.

Ddos pcap파일을 와이어샤크로 연상태입니다.

Ddos 파일인 것을 아니까 IO graph를 켜서 트래픽이 발생한 지점을 알아 봅시다.


켰더니 갑자기 트래픽이 증가 되는 부분이 있습니다. 그래프에서 갑자기 튀는 부분에 마우스 좌클릭을 해봅시다.


그랬더니 이런 패킷이 있는 부분으로 넘어 왔습니다. 자세히 보니 445포트에서 왔다 갔다 하는게 많아 보이네요.

그리고 NBSS많이 있네요 NBSS는 Net Bios Sesion Service 의 약자로써 TCP위에서 전송되며 보통 139포트를 사용한다고 되어있습니다.

https://wiki.wireshark.org/NetBIOS/NBSS (위키참조)

위에서 확인했다시피 주로 445번 포트를 사용하여 통신하는 것을 알 수 있습니다.

445번 포트는  Microsoft-DS SMB 파일 공유와 프린터 공유에 사용하는 프로토콜입니다. 

포트 종류(https://ko.wikipedia.org/wiki/TCP/UDP%EC%9D%98_%ED%8F%AC%ED%8A%B8_%EB%AA%A9%EB%A1%9D)


아까부분에서 445 포트에서 나가는 패킷을 마우스 우클릭 -> Follow TCP stream 해보겠습니다.


같은글자가 반복되는 것을 알 수가 있습니다.

이런식으로 저희는 공격자는 445번 포트를 통해 A cat is fine too. Desudesudesu~A 라는 문자를 통해 Ddos를 일으키는것을 알 수 있습니다.

따라서 Net Bios, SMB포트(139, 445) 를 막아주시면 해당 Ddos는 막을 수 있을거라 생각 됩니다. 하지만 139, 445번 포트를 사용해야 되는경우도 생기는데 그럴땐 방화벽을 잘 구축해야 겠습니다.

틀린 부분이 있다면 지적해주시면 감사하겠습니다. 

차단참조: http://levin01.tistory.com/1745
          http://blog.naver.com/nforce7050/140120602286

NBNS 참조 :http://dongdong2da.tistory.com/27
            http://extr.tistory.com/162



+ Recent posts