침해사고2 [네트워크 패킷 분석] 침해사고 샘플 분석 사례 문제 및 풀이 2 와이어샤크에서 Statistics > Protocol Hierarchy를 클릭해 프로토콜 통계를 확인했다. TCP와 TCP 중 HTTP를 많이 사용한 것을 확인할 수 있다.Media Type의 크기가 상당히 크므로 이걸 중점적으로 봐야 한다.공격자들이 웹쉘 등을 써서 정보들을 가져올 때 Line-based text data로 분류가 된다. 웹쉘이 있기 때문에 Statistics > HTTP > Packet Counter를 봤다.Bruce force 공격 등을 사용하면 5xx나 4xx 쪽으로 많이 찍히는데 없으므로정상적인 페이지로 접근하여 시스템을 공격했음을 알 수 있다. Statistics > HTTP > Requests 정보에서 접근한 도메인 정보를 확인할 수 있다. 두 개의 포트가 열려 있다. 192.. 2023. 4. 14. [네트워크 패킷 분석] 침해사고 샘플 분석 사례 문제 및 풀이 1 패킷 안에 도메인 정보들이 많은 경우엔 와이어샤크에서 Statistics > Resolved Addresses 도구를 이용해 패킷 안에 도메인이 몇 개가 들어 있는 지 분석해야 한다. 그러나 지금 분석하는 패킷은 도메인 정보가 그렇게 많지는 않다. 패킷들이 어디서 많이 발생했는 지 확인하기 위해서 Statistics > Protocol Hierarchy를 본다. TCP와 TCP 중에서도 HTTP의 비중이 높은 것을 확인할 수 있다.이는 웹서비스를 통해서 공격 행위가 일어났다는 것을 의미한다.MIM Multipart Media Encapsulation은 별로 없기 때문에 공격자가 크지 않은 데이터를 첨부 파일로 사용했다고 예측할 수 있다.Line-base text data는 공격자가 요청해서 출력이 브라우.. 2023. 4. 14. 이전 1 다음
