본문 바로가기

패킷

[자료] 패킷 샘플 https://traffic.moe/ https://github.com/security-onion-solutions/security-onion/wiki/Pcaps PCAP RepositoriesMACCDC - Pcaps from National CyberWatch Mid-Atlantic Collegiate Cyber Defense Competition http://www.netresec.com/?page=MACCDCWireshark Sample Capures http://wiki.wireshark.org/SampleCaptures http://wiki.wireshark.org/Development/PcapNg#Example_pcapng_Capture_FileDARPA Intrusion Detection .. 더보기
[Tool] 특정 프로세스 캡쳐 snoopspy를 이용해 특정 프로세스만 캡쳐하는 동영상입니다. tutorial : https://www.youtube.com/watch?v=RzcKk-qpCfg snoopspy : http://www.snoopspy.com/download 더보기
[자료] NTP 취약점을 이용한 NTP reflection attack https://isc.sans.edu/diary/NTP+reflection+attack/17300 http://www.us-cert.gov/ncas/alerts/TA14-013A NTP 취약점을 이용한 NTP reflection attack 추후 정리.. 더보기
[정리] Ethernet Frame의 기능과 구조 Data link 계층은 상위 계층의 패킷을 전달받아 프레임 형태로 변환하여 Physical 계층에 전달한다. 이때, 이더넷 헤더에는 상위 계층의 프로토콜 정보와 src, dst MAC address 정보가 담긴다. [그림 1] Ethernet V2 구조 위 그림은 Ethernet V2 프레임의 구조를 나타낸 것으로 IEEE802.3의 경우 'Type'이 아닌 'Length' 정보가 담겨있고 DSAP, SSAP, Control 필드가 추가적으로 구성되어 있다. Preamble : Physical 계층에서 전송된 비트패턴으로 송신자와 수신자의 동기를 맞추는데 사용된다. 7byte크기이며 항상 10101010 으로 설정된다. 패킷 캡쳐 범위 밖이다. SOF(Start Of Frame) : 물리계층이 끝나고 .. 더보기
[정리] UDP의 기능과 패킷 구조 UDP(User Datagram Protocol)는 transport layer에서 동작하는 비연결지향형 프로토콜이다. 연결지향형인 TCP와는 달리 단순 오류검출 기능만을 지원하기 때문에 흐름제어나 오류제어등의 기능은 어플리케이션에서 담당해야만 한다. 이러한 이유로 UDP는 best-effort protocol로도 불린다. UDP는 그 특성 때문에 다른 전송 프로토콜에 비해 오버헤드가 적다. 따라서 브로드캐스트나 멀티캐스트, 소량의 데이터 전송 시에는 UDP를 이용하는 것이 효율적이다. [그림 1] UDP 구조 Source Port : 해당 패킷을 만든 송신자의 어플리케이션 포트번호를 나타낸다. Destination Port : 해당 패킷을 수신할 어플리케이션의 포트번호를 나타낸다. Length : UD.. 더보기
[정리] scapy tutorial scapy는 파이썬 기반의 패킷 생성, 조작 및 스니핑, 스캐닝 등 상황에 따라 유연하게 활용 할 수 있는 툴이다. 설치 링크 :http://www.secdev.org/projects/scapy/http://www.secdev.org/projects/scapy/doc/installation.html#platform-specific-instructions 찾아보니 좋은 문서와 자세히 정리된 글이 있어 간단하게만 정리한다. [그림 1] scpay 시작 화면 테스트 환경은 BT5R3에서 진행하였다. scapy 명령어 입력 시 [그림 1]과 같은 프롬프트 창이 출력되고 이 상태에서 파이썬 프로그래밍을 하거나 간단한 패킷을 생성할 수 있다. scapy의 종료는 exit(). [그림 2] scapy 설정 화면 co.. 더보기
[정리] 스캔방식에 따른 응답 차이 때때로 자격증 시험과 같은 곳에서 스캔 방식에 따른 응답 차이를 물어볼 때가 있는데, 혼동이 되어 정리해본다. 스캔하는 호스트를 공격자(A)라 칭하고 스캔 당하는 호스트는 피해자(B)라 칭한다. 1. TCP connect scan스캔 시 공격자가 피해자와 완전한 3 Way-Handshacking 과정을 통해 세션을 성립하여 열린 포트를 확인하는 스캔. 결과에 대한 신뢰성은 높지만 속도가 느리고 피해자의 로그에 남는다. [그림 1] TCP connect scan (open)[그림 2] TCP connect scan (close) 2. Half-open scanHalf-open scan 또는 SYN 스캔이라고 부르는 방식으로 TCP connect scan과 같이 완전한 세션을 성립하지 않고 SYN 패킷 만을.. 더보기
[PACKET] SANS Network Forensic Fuzzle 4 풀이 보호되어 있는 글입니다. 더보기
[PACKET] SANS Network Forensic Fuzzle 3 풀이 보호되어 있는 글입니다. 더보기
[정리] ARP의 기능과 패킷 구조 데이터의 송수신 시 호스트의 IP 주소를 아는것만으로는 MAC 주소를 이용해 통신하는 네트워크 계층에서 프레임을 전달하는 것은 불가능하다. 때문에 TCP/IP 통신에서 하드웨어 주소 즉, MAC 주소를 알기위해 ARP(Address Resolution Protocol)를 사용해 IP와 MAC 주소간의 동적 매핑을 제공한다. 동적 매핑이라 표현한 이유는 매핑이 자동으로 이뤄지며 변경이 발생하여도 시스템 관리자에 의해 재구성을 요하지 않은 채 변경이 적용되기 때문이다. ARP와 반대로 MAC 주소와 IP 주소간의 매핑을 제공하는 RARP (Rev-erse Address Resolution Protocol)는 흔히 사용되지 않는다. ARP는 IPv4에서만 사용되며 IPv6의 경우 ICMPv6에 포함되있는 ND.. 더보기