3주차 포렌식

네트워크 포렌식 

- 컴퓨터 네트워크 트래픽에서 목적 정보를 수집하고, 분석하는 일련의 과정 또는 기술

- 네트워크 패킷 포렌식은 종단간 수집된 패킷에 대해 분석 하는 기술

 

활용분야

- 네트워크 흐름 파악 

- 네트워크 공격/위협 감지

- 기업 내부 감사

- 악성코드의 분석

 

 

네트워크 패킷 포렌식 – TCP 헤더

각 플래그마다 의미하는 바가 있어 통신상에서 비트의 설정으로 의미를 부여

Port Scan과 같은 공격 유형 판별 시 중요한 정보가 됨

 

 

 

 

 

네트워크 패킷 포렌식 - TCP 3 Way HandShaking

네트워크 통신 연결에 있어 가장 기초가 되는 연결 방식

 

 

 

 

네트워크 패킷 포렌식 - HTTP

- 현재 가장 광범위하게 사용되는 인터넷 프로토콜

- 서버/클라이언트 모델

- 요청(Request)와 응답(Response) 

- 현재는 HTTP 1.0/1.1 버전이 가장 많이 쓰인다. 

- 메소드(Method)를 이용해 요청에 대한 행위를 표시한다.

- URI로 서버 자원에 접근한다

 

 

 

 

+ WIRESHARK 사용

자신이 분석하고 싶은 영역을 클릭해 준다

wireshark 실행화면

 

 

실시간으로 생성되는 패킷 확인, 정지 가능 

wifi 영역 클릭 화면

한 줄 한 줄 패킷을 요약한 정보라고 볼 수 있음 이떄 source는 출발지의 ip를 destination는 도착지의 ip 주소를 나타냄 

 

 

Packet Details 영역으로 전송되는 패킷의 세부 정보 조회 가능

packet detail 영역 

네트워크 계층에 따라 분류한 정보

 

Frame : 1 계층 정보

Ethernet : 2계층 정보 (MAC 주소)

Internet Protocol : 3계층 정보 (IP 주소)

Transmission~ : 4계층 정보

대부분의 패킷은 암호화가 되어 있어 wireshark로 해독하기 어렵다

 

 

Packet Bytes 영역으로 패킷의 내용을 16진수로 표현

Packet Bytes 영역

 

 

TCP 클릭

화면의 Protocol 영역 중 TCP를 클릭해 TCP에 관한 정보 출력해 보았다

 

 

 

 

packet detail 영역 확인

(Src Port)Source port (발신지 포트 필드) : 발신지 포트필드는 발신지에서 오픈된 포트다. 위의 패킷을 보면 https 포트 (443) 인 것을 확인할 수 있다.

 

(Dst Port)Destination port (목적지 포트 필드) : 목적지 포트필드는 수신지에서 오픈된 포트다. 위의 패킷을 보면 65229 포트인 것을 확인할 수 있다.

 

(Seq)Sequence number (순차 번호 필드) : 순차번호필드는 고유한 번호를 가지며, 이 값으로 TCP 세그먼트에 대한 식별값을 제공하며, 통신 스트림일부가 분실되면 확인을 위해 수신자를 사용가능하게 한다. 이 순차번호는 패킷에 포함되있는 데이터 만큼 증가하게 된다. 화면에서는 1461의 값을 가진다.

 

(Ack)Acknowledgment number (확인 응답 번호 필드) : 확인 응답 번호 필드는 다음번에 기대되는 순차번호를 표시한다. ack number에 관련하여 5429의 값을 가지게 된다.

 

Header length (데이터 오프셋 필드) : 데이터 오프셋필드는 TCP헤더의 길이를 정의한다. 길이는 4byte씩 증가되고, 이 필드의 값이 20이면 80바이트 길이를 갖는다는 것이다. TCP헤더의 길이가 다양하게 변화시킬 필요가 있으므로 이 필드가 필요된다.

 

 

 

 

 

URG (Urgent) : 긴급 포인터

ACK (Acknowledgment) : 확인 응답 패킷 (비트가 1일 경우)

PSH (Push) : 네트워크에서 버퍼링 우회와 데이터 즉시 통과, TCP 세그먼트가 발신자나 수신자의 측면에서 버퍼에 유지되면 안 된다는 것을 표시

RST (Reset) : 연결 닫기, 이상 종료시 사용

SYN (Synchronize) : 동기화 순차번호

FIN (Finish) : 트랜잭션 종료

 

 

 

 

 

 

 

네트워크 패킷 포렌식 – HTTP Method

- 1.0 버전에는 GET, HEAD, POST 정도만 사용

- 1.1 버전에는 GET, POST, PUT, DELETE, HEAD, OPTIONS, TRACE

- 현재는 보안상의 이유로 GET, POST만 사용함

 

 

 

 

패킷 분석 시 나타나는 패킷 형태

- FTP, Telnet은 평문으로 전송

- SMTP, IPOP과 같은 메일전송 프로토콜은 base64로 인코딩 후 전송

- HTTP는 평문으로 데이터 전송

- PortScan과 같은 스캐닝 공격은 일정한 형태를 가지고 있음

 

 

 

 

PortScan – TCP OPEN Scan

 

 

 

PortScan – TCP Half OPEN Scan

 

 

 

 

PortScan – UDP Open Scan

 

 

 

PortScan – ACK Scan

 

 

 

PortScan – Stealth Scan

- FIN, X-mas, NULL 스캔으로 구성

- FIN : FIN Flag만 활성화

- X-mas : 모든 Flag 활성화

- NULL : 모든 Flag 비활성화

- TCP Flag 값을 조작하여 스캔을 시도