[네트워크 패킷 분석] 와이어샤크와 네트워크마이너를 활용한 패킷 분석

 

파일 업로드 취약점이 발생했던 패킷 파일(예시)을 와이어샤크에서 연다. 

 

 

메뉴에서 Statistics -> Protocol Hierarchy를 클릭하면

패킷 안에서 얼마나 많은 프로토콜을 사용하고 있는지 프로토콜 통계를 확인할 수 있다.

 

 

TCP와 HTTP를 많이 사용하는 것을 볼 수 있다.

HTTP 중 Line-based text data를 많이 사용한다는 것은 HTTP를 통해서 데이터를 요청하는 작업을 많이 하는 것이다.

 

 

HTTP를 많이 사용하고 있기 때문에 http를 통해서 필터링을 해서 데이터를 확인한다.

 

 

패킷이 많은 경우엔 

Statistics -> HTTP -> Packet Counter를 통해 상태 코드 별로 어떤 패킷들이 많이 작동하는 지 통계를 볼 수 있다. 

캡처에는 없지만 POST보다 GET이 많으므로 요청이 많이 들어왔음을 짐작할 수 있다.

 

 

Statistics -> HTTP -> Requests를 통해 HTTP Request의 요약을 볼 수 있다.

 

 

순서대로 나열하고 싶다면 Burst start를 클릭하면 된다. 

순서대로 나열해 보면 로그인을 하고, file_upload 페이지에 접속한 다음

php-backdoor 페이지에 접속한 것을 확인할 수 있다.

php-backdoor는 개발자가 생성하지 않은 파일이기 때문에 이걸 의심해 봐야 한다.

 

 

File -> Export Objects -> HTTP를 통해 페이지 별로 HTTP 프로토콜을 정렬해 준다.

의심되는 파일을 하나씩 저장하거나 모두 저장한다.

저장한 후에 페이지들을 타입 별로 맞춰서 하나씩 확인해 봐야 한다는 단점이 있다.

*타입 별로 맞춘다 ex) php 확장자로 저장된 파일을 http 확장자로 바꾼다

 

 

저장한 파일을 열어서 해당 페이지가 어떤 역할을 하는 페이지인지 확인할 수 있다.

이러한 과정을 네트워크 마이너를 사용하면 쉽게 할 수 있다. 

 

 

와이어샤크에서 패킷 파일을 저장하면 기본적으로 pcapng 확장자이지만

네트워크 마이너 프리 버전에서는 해당 파일을 열 수 없다.

따라서 저장할 때 확장자를 pcap으로 설정해야 한다. 

 

 

pcap으로 저장한 패킷 파일을 네트워크 마이너에서 열어본다.

패킷에서 실제 사용자가 관여한 것은 검정색으로 나오고, 페이지 내 링크 등은 회색으로 나온다.

 

 

파일 정보를 보면 와이어샤크에서 File -> Export Objects한 것과 비슷하게 보인다.

 

 

네트워크 마이너의 장점은 우클릭 -> Open Folder를 하면 확장에 맞춰 저장이 돼 있다는 것이다. 

만약 이미지가 있다면 이미지도 별도로 저장을 한다.

 

 

저장된 파일을 클릭해서 확인하면 된다.

 

 

Credentials에서 쿠키 정보, 쿼리문으로 넘어가는 유저 네임 및 패스워드 정보 등을 확인할 수 있다.

ftp나 telnet은 평문으로 전송되는 프로토콜이므로 만약 이 프로토콜을 사용했다면

Credentials에서 유저 네임 및 패스워드 정보가 모두 보일 것이다.

 

---

출처

인프런 | IT보안을 위한 와이어샤크 네트워크 패킷 분석 실전

https://www.inflearn.com/course/wireshark_boanproject#reviews

[무료] IT보안을 위한 와이어샤크 네트워크 패킷 분석 실전 - 인프런 | 강의