이 파일의 문제가 뭔지는 몰랐으나 검색하니 바로 나오네요.
CSAW CTF 2012 문제중 하나라고 하더군요.

파일은 찾아보시면 나오니까 거기서 쓰시면 될거같습니다.

문제 : Some dude I know is planning a party at some bar in New York! I really want to go but he's really strict about who gets let in to the party. I managed to find this packet capture of when the dude registered the party but I don't know what else to do. Do you think there's any way you can find out the secret password to get into the party for me? By the way, my favorite hockey player ever is mario lemieux.

해석 : 내가 아는 친구는 뉴욕에서 어떤 바에서 파티를 계획하고 있습니다! 정말 가고 싶은데 그는 누군가에게 파티가 알려지는 것에 대해 정말 엄격입니다. 나는 그 친구가 파티를 등록 할 때의 이 패킷 캡쳐를 찾는데에 애썼지만 어떻게 해야 할지 모릅니다. 당신은 나를 위해 파티에 들어갈 비밀 암호를 알아낼 수있는 방법이 있다고 생각하세요? 그런데, 내가 제일 좋아하는 하키 선수는 mario lemieux입니다.


문제를 보면 파티를 계획하고 있다고 합니다. 

먼저 wireshark를 통해 pcap파일을 열어보겠습니다.
뭔가 패킷이 참 많네요.
문제에서 party에 참가하고싶다고 하니 party에 힌트가 있을 것입니다.
따라서 Filter에 다음과 같이 입력해봅니다. frame contains party 

frame contains는 frame에 "party"라는 단어가 포함된 트래픽을 보여주는 필터입니다.

그랬더니 다음과 같이 2개의 패킷만 잡히는 걸 알 수 있었습니다.




마우스 우클릭 Follow TCP stream을 통해 패킷을 열어 보겠습니다.




열면 위와 같은 창이 뜰것입니다.

처음에 이것을 보고 호스트에 있는 주소에 뭔가가 있는 줄 알아서 들어갔더니 

위와 같은 사이트가 나오고 딱히 발견 할 수가 없었습니다.

그래서 다시 Follow TCP stream을 보니 

중간에 보시면 si_contact부분에 뭔가 그럴싸한 글자들이 보입니다.

그래서 si_contact 부터 복사를해서 URL 디코딩을 합니다.

디코딩하였을때 나온 값입니다.

아래서 3번째줄 보면은 "brooklyn beat box" 라고 되어 있으며 영어를 해석해보면 그 파티에 참석하려면 이런것을 준비해야한다느낌인데 "brooklyn beat box"를 준비하라는 생각이 드므로 brooklyn beat box가 답이 될 듯 싶습니다.

brooklyn beat box



참조 : http://blog.petrilopia.net/software/wireshark-display-filter/ 

http://matthex.tistory.com/entry/CSAW-CTF-2012-Writeup <- 링크에 가시면 CSAW CTF 2012문제 WriteUp이 있으니 참조하실분은 하시면 되겠습니다.







Wireshark로 Ddos pcap파일 분석을 해봅시다. 이 방법외에 수많은 방법이 있을 수도 있으며 더 나은 방법이 있을 수도 있습니다. 자세히 알고 있거나 그런 자료를 본적이 있으신분은 댓글로 알려주시면 감사하겠습니다.

Ddos pcap파일을 와이어샤크로 연상태입니다.

Ddos 파일인 것을 아니까 IO graph를 켜서 트래픽이 발생한 지점을 알아 봅시다.


켰더니 갑자기 트래픽이 증가 되는 부분이 있습니다. 그래프에서 갑자기 튀는 부분에 마우스 좌클릭을 해봅시다.


그랬더니 이런 패킷이 있는 부분으로 넘어 왔습니다. 자세히 보니 445포트에서 왔다 갔다 하는게 많아 보이네요.

그리고 NBSS많이 있네요 NBSS는 Net Bios Sesion Service 의 약자로써 TCP위에서 전송되며 보통 139포트를 사용한다고 되어있습니다.

https://wiki.wireshark.org/NetBIOS/NBSS (위키참조)

위에서 확인했다시피 주로 445번 포트를 사용하여 통신하는 것을 알 수 있습니다.

445번 포트는  Microsoft-DS SMB 파일 공유와 프린터 공유에 사용하는 프로토콜입니다. 

포트 종류(https://ko.wikipedia.org/wiki/TCP/UDP%EC%9D%98_%ED%8F%AC%ED%8A%B8_%EB%AA%A9%EB%A1%9D)


아까부분에서 445 포트에서 나가는 패킷을 마우스 우클릭 -> Follow TCP stream 해보겠습니다.


같은글자가 반복되는 것을 알 수가 있습니다.

이런식으로 저희는 공격자는 445번 포트를 통해 A cat is fine too. Desudesudesu~A 라는 문자를 통해 Ddos를 일으키는것을 알 수 있습니다.

따라서 Net Bios, SMB포트(139, 445) 를 막아주시면 해당 Ddos는 막을 수 있을거라 생각 됩니다. 하지만 139, 445번 포트를 사용해야 되는경우도 생기는데 그럴땐 방화벽을 잘 구축해야 겠습니다.

틀린 부분이 있다면 지적해주시면 감사하겠습니다. 

차단참조: http://levin01.tistory.com/1745
          http://blog.naver.com/nforce7050/140120602286

NBNS 참조 :http://dongdong2da.tistory.com/27
            http://extr.tistory.com/162




WireShark에는 다양한 기능이 있습니다. 그중에서 Statistics에 있는 I/O 그래프에 대해 간단히 알아 보겠습니다.

Wireshark에서 I/O그래프는 초당 트래픽을 그래픽으로 보기쉽게 만들어 놓은 것이라고 생각하시면 편합니다.

경로는 상단바에 있는 Statistics -> IO Graph에 들어가시면 됩니다. 


위와 같은 경로에 있습니다.


키시면 위와 같은 창이뜨며 아래 Graphs란에서 필터와 스타일로 다양하게 표현할 수 있습니다.

위에 보시면 그래프로 나타낸 부분에 마우스 좌클릭하시면 와이어샤크 패킷부분이 그래프에 해당되는 곳으로 이동되니

 IO Graphs를 사용하여 DDOS와 같은 패킷을 많이 쓰는 공격등이 언제부터 시작되었는지 알 수 있습니다.


이번에는 Wireshark를 이용한 pcap 파일에 포함된 파일을 받는 방법입니다

구버전을 사용할 예정이며 하시는 방법은 http://jmoon1601.tistory.com/14에 가시면 알 수 있습니다.

구버전을 키시면 초록색 상어 등지느러미있는 부분에 Start가 있을 겁니다. 아래부분보면 사용자가 쓰고 있는 것을 선택해서 Start를 누르시면 됩니다. 참 쉽죠






그러면 아래와 같은 창이 켜질텐데 인터넷을 쓰고 있다면 엄청 많은 수가 올라가는 것을 볼 수 있습니다.

저는 처음에 모든 인터넷을 다 끄고 네이버만 켜놓은 상태로 새로고침 몇번하였습니다.

어느정도 됬다 싶으면 좌측상단에 초록색 상어등지느러미 옆에 있는 빨간색 네모버튼을 누릅니다. 



그런다음 좌측상단에 File -> Export Objects -> HTTP 를 누르시면 아래와 같은 창이 뜰겁니다.

우측 하단에 있는 Save As는 선택한 파일만 다운 받으며 Save All은 모든 파일을 다운 받습니다. 이번에 Save All로 다운 받아 보겠습니다.




Save All 누르셔서 폴더를 생성하여 다운을 받으시면 네이버에 떠있던 사진들을 다운 받은 모습을 볼 수 있습니다. 




위와 같은 방법으로 와이어샤크를 통해 pcap파일에 포함된 악성코드를 다운 받을 수도 있습니다. 

악성코드가 포함된 pcap파일을 불러와서 똑같이 하면 되니까요. 





Wireshark란 무엇인가?

Wireshark는 세계에서 가장 널리 쓰이는 네트워크 분석 프로그램입니다. 매우 강력한 이 프로그램은 네트워크상에서 캡쳐한 데이터에 대한 네트워크/상위 레이어 프로토콜의 정보를 제공해줍니다. 다른 네트워크 프로그램처럼, Wireshark는 패킷을 캡쳐하기 위해pcap 네트워트 라이브러리를 사용합니다. 


위키피디아에 들어가면 더욱 더 자세한 설명이 있으므로 참고하시면 됩니다. 

https://ko.wikipedia.org/wiki/%EC%99%80%EC%9D%B4%EC%96%B4%EC%83%A4%ED%81%AC




Wireshark의 강점 

-쉬운 설치

-GUI 인터페이스를 이용한 간단한 사용법

-매우 다양한 기능


Wireshark 설치방법

와이어샤크 설치하는 방법은 어렵지 않습니다. 

먼저 링크를 타고 사용자 환경에 맞는 파일을 다운 받습니다.



다운받은 파일을 실행시킵니다.

그리고 쭉쭉 Next 눌러 주시면 됩니다. 

눌러주시면 


이런 창이 2번 뜰텐데 설치가 안되어있다고하면 Install부분에 체크하여 설치해줍니다. 그리고 Next 쭉 눌러주시고

Install하시면 됩니다. 정말 쉽죠?

다 설치하시고 실행을 시켜보면 다음과 같은 창이 뜰겁니다.


최근패치로 전에 쓰던 와이어샤크와 조금 달라 졌습니다. 신버전과 구버전 차이는 신버전에서 구버전에 있던 필요없던 기능등을 뺐거나 숨겼다고 하는데 자세한것은 따로 찾아보시면 되겠습니다. 

구버전을 쓰고 싶으신 분들은 와이어샤크 설치 경로로 가시면 


Wireshark-gtk.exe라는 파일을 실행시키시면 구버전이 열립니다. 




또다른 방법으로 wireshark Legecy를 검색하셔서 실행시켜도 됩니다.







+ Recent posts