# wireshark

34개의 포스트
post-thumbnail

TCP/IP - IP Part2

🔌 Subnetting 계산 Q. 172.31.0.0/24 을 IP 주소 30개씩 서브넷팅 몇 개의 서브넷이 나오는지, 각 서브넷의 Network Address, Broadcast Address, 할당 가능한 IP 주소 대역은? Q. 172.16.0.0/16 을 서브넷 4개로 나누려고 함 각 서브넷의 Network Address, Broadcast Address, 할당 가능한 IP 대역은? <img src="https://velog.velcdn.com/images/yejin25/post/60273f37-f2df-4e61-b87d-5b4a75ffd7e2/image.jpeg" width = "60%" he

2023년 8월 31일
·
0개의 댓글
·
post-thumbnail

네트워크 포트 스캔 패킷 분석

TCP 포트 스캔 TCP 포트 스캔은 3-way-handshake를 이용해 포트의 개방 여부를 파악한다. 열린 포트 공격자 공격대상 SYN ---------> 닫힌 포트 공격자 공격대상 SYN ---------> 공격대상 SYN ---------> ------ 응답 없음 ------ Conversations 와이어샤크의 기능으로 상단 메뉴에 Statistic -> Conversations을 이용해 패킷 송수신 현황을 살펴보면, 어떤 포트를 대상으로 스캔이 시도되었는지 쉽게 확인할 수 있다. TCP SYN 스캔

2023년 8월 29일
·
0개의 댓글
·
post-thumbnail

드림핵 Forensic CTF

sleepingshark 와이어샤크를 이용한 네트워크 포렌식 문제이다. 압축파일을 다운받아서 해제하면 pcap 파일이 나오는데 pcap 파일을 열어서 패킷을 분석해 보자. 저 SELECT가 적혀 있는 패킷으로 가 보자. flag라는 글자를 발견할 수 있다. 저 문자열을 복사해서 url decode를 해 보면 ![](https://velog.velcdn.com/i

2023년 7월 28일
·
1개의 댓글
·
post-thumbnail

Network - ARP & Packet 분석

ARP OSI 7Layer 계층중에서 2계층(MAC)와 3계층(IP주소)가 각 주소를 가지고 있고 통신을 할 때 목적지를 찾아 갈수 있도록 하지만 2계층과 3계층은 아무런 관계도 없다는 사실이다 MAC Address: 하드웨어 생산 업체가 임의적으로 할당한 NIC에 종속된 주소 IP Address: 직접 할당하거나 DHCP에 의해 자동으로 할당밥ㄷ는 논리적주소 실제로 통신은 IP 주소 기반으로 일어나고 MAC 주소는 상대방의 주소를 자동을 알아내 통신을 하게 되는데 이때 상대방의 MAC 주소를 알아내기 위해서 사용되는 프로토콜이 ARP이다! ARP 통신 데이터 통신을 위해 MAC주소와 IP주소 두개가 사용되는데 이 두개는 전혀 연관성이 없기 때문에 연계시켜주기 위한 매커니즘이 필요함 ARP 통신 순서 통신을 시도할 때 목적지의 IP주소는 미리 알고 있어야 캡슐화하는데 문제가 없지만 상대방의 MAC주소를 알 수 없어 2계층 캡슐화를 진

2023년 6월 25일
·
0개의 댓글
·
post-thumbnail

Wireshark를 이용해 패킷 분석하기 - Link layer

Section number - 캡처된 데이터를 여러 섹션으로 나눌 수 있는데 이를 통해 어떤 섹션의 데이터인지 알 수 있다. id - 이 프레임의 고유 ID를 나타낸다. 여기서는 0이다. Interface id - 네트워크 장치나 가상 인터페이스를 식별하는 데 사용한다. Encapsulation type - 패킷이 어떤 네트워크 캡슐화 프로토콜을 사용하여 전송되었는지를 나타낸다. 이 패킷은 Ethernet 프로토콜을 사용하여 캡슐화가 되었다. Arrival Time - 도착 시간을 의미한다. 5월 9일 21시 32분 51초경 도착한 것으로 보인다. Time shift for this packet - 해당 패킷이 시간적으로 얼마나 이동되지 않았는지를 나타낸다.

2023년 6월 3일
·
0개의 댓글
·
post-thumbnail

[네트워크] 와이어샤크로 패킷 캡쳐가 안되는 경우

과제를 위해 패킷 캡쳐를 하려고 와이어샤크를 실행했는데 위와 같은 화면이 나를 반겨주었다. 이전에는 이러지 않았는데, 갑자기 이러더니 캡쳐를 시작할 수도 없다니... 알아본 결과, 대표적으로 2가지 원인으로 위 이슈가 발생하는 것으로 보인다. 사용자가 administrator가 아닌 경우 이 경우에는 그냥 관리자 권한으로 실행하기를 해주면 된다. npcap이 정상적이지 않은 경우 윈도우 환경에서 패킷 캡쳐를 하기 위해서는 winpcap 또는 npcap이 필요하다. winpcap은 개발이 중단되었기도 하고, 최신 윈도우 환경에서는 npcap이 더 좋은 호환성을 보이므로 npcap을 새로 설치해주면 된다. > 필자의 경우 npcap 문제였고, [해당 사이트](https://npcap.com

2023년 5월 8일
·
0개의 댓글
·
post-thumbnail

Computer Network

OSI 7 Layers Open Systems Interconnection (OSI) model describes seven layers that computer systems sue to communicate over a network. The modern Internet is no longer based on OSI, but on the simpler TCP/IP model. However, the OSI 7-layer model is still widely used because it helps visualize and communicate how networs operate, and helps isolate and troubleshoot networking problems. > #### The 7 OSI layers are: Physical Layer: Transmits raw bit stream over the physical medium Data Link

2023년 4월 28일
·
0개의 댓글
·
post-thumbnail

HTTP 문제점 및 wireshark

http사이트에서 로그인을 하거나, 등등 업무를 볼 때 한번쯤 브라우저 창에서 위험할 수 있다는 경고를 받은 적이 한번 쯤은 있을 것이다. 이유는 모른 채 그런가 보다~ 하고 넘어갔는데 오늘 wireshark를 통해 http 통신을 모니터링 해보면서 왜 위험한지 배우게 되었다. > > 🦈 wireshark란 ? > : 네트워크 간의 통신을 모니터링 해주는 도구로 오픈 소스 패킷 분석 프로그램 즉, 데이터를 주고 받을 때 데이터가 담긴 pcap(Packet Capture)이 존재하는데, 이 pcap을 확인하는 도구

2023년 4월 26일
·
0개의 댓글
·
post-thumbnail

ARP spoofing 실습 (와이어샤크 패킷 확인)

1. ARP란? ARP(address resolution protocol)는 3계층 프로토콜로 네트워크 계층의 주소체계인 IP로 2계층(Data Link 계층)의 주소체계인 MAC 주소를 찾아주는 프로토콜입니다. 만약 A라는 사용자가 논리적인 3계층 주소 체계인 IP를 가지고 arp request 패킷을 브로드캐스팅 합니다. 그러면 해당 IP를 가진 사용자 B가 자신의 MAC 주소 값 즉, 하나의 NIC마다 가지고 있는 고유한 물리 주소를 ARP reply로 알려줍니다. 그러면 A사용자는 B의 MAC 주소로 패킷을 보내는 것입니다. >즉, IP는 논리적인 주소로 일시적이지만 MAC 주소 값은 물리적인 고유한 주소로 항상 똑같습니다. 또한, 사용자는 IP를 통해 MAC주소를 알아내 사실 상 MAC 주소로 패킷을 전송합니다. 예를들어, Kali에서 서버로 ping 명령을 수행해보겠습니다. >Kali : IP = 192.168.6.129 &emsp;&emsp

2023년 4월 5일
·
0개의 댓글
·
post-thumbnail

Linux : Wireshark

Ubuntu Wireshark Ubuntu 20.04.3 LTS 버전을 활용한 wireshark 활용 사전 update , upgrade 완료 > 1. sudo apt install wireshark root가 아닌 사용자도 패킷 캡쳐 허용? - yes or no sudo wireshark 이후 사용자 추가는 무사 작동!

2023년 1월 7일
·
0개의 댓글
·

Defcon 22 # 2번 문제

문제 우리는 북한이 내년 타이틀전을 치루고 있음을 알 수 있다. Kim Ill-song은 우리가 찾고 있는 사람 일 것입니다. 우리는 Kim Ill-song의 네트워크 트래픽을 포착했으며 다른 국가의 많은 사람들과 의사소통을 하고 있습니다. 우리는 그가 뇌물을 줬다고 생각하는데 증거가 필요합니다. 현금은 상대적으로 이동하기 쉽지만, 뇌물 중 하나가 다른 것임을 알게 되었습니다. 곧 호스팅 도시에 대한 투표가 시작됩니다. 이 폴더에 있는 Round 2 패킷 캡처를 사용하여 사례에 대해 자세히 알아보고 다음 질문에 답하십시오. 어떤 도시 관리가 뇌물을 받고 있습니까? Hint : 인코딩 defcon 22 #2.png 패킷을 확인하니 IRC 프로토콜 통신흔적이 있다. _IRC :

2022년 12월 21일
·
0개의 댓글
·

Defcon 22 # 1번 문제

문제 사건을 수락해 주셔서 감사합니다. 우리의 러시아 동지는 스노든이 발표 한 문서에서 2015 체스 복싱 세계 타이틀과 관련된 뇌물에 관한 정보가 포함되어있을 것이라고 밝혔다. 우리는 스노든의 트래픽을 감시해 왔고, 관련된 모든 사람을 알아야합니다. 사용자 이름 목록이 있는 것으로 의심되며, 목록의 두 번째 이름이 누구인지 알고 싶습니다. 이 폴더에 있는 Round1 패킷 캡처를 사용하여 사례에 대해 자세히 알아보고 다음 질문에 답하십시오. 사용자 이름 목록에서 두 번째 이름은 무엇입니까? Hint : 너의 모든 base64는 우리에게 속해있다. Defcon 22 #1.png 패킷의 수는 30775개다. 패킷을 훑어보니 SMB프로토콜로 파일을 송수신한 흔적이 있다. _SMB

2022년 12월 21일
·
0개의 댓글
·
post-thumbnail

TCP/IP 기초

C1. 컴퓨터 네트워크 전송 제어 프로토콜 (Transmission Control Protocol: TCP) 인터넷 프로토콜 (Internet Protocol: IP 두대의 컴퓨터 연결되면 네트워크가 된다. 메시지나 파일을 주고 받을 수 있다. 여러 대의 컴퓨터가 연결되면 네트워크가 된다. 컴퓨터들이 서로 정보를 주고 받을 수 있도록 연결된 망을 컴퓨터 네트워크라고 한다. ![](https://velog.velcdn.com/images/soobeen-jeong/post/21c1ad7e-f1d8-4b62-9462

2022년 11월 17일
·
0개의 댓글
·
post-thumbnail

getting familiar with Wireshark

WiFi를 사용하는 동안 packet을 capture하기 위한 tool로 wireshark를 설치 https packet을 캡처하기 위해 웹 브라우징을 하고, http 필터 (display 필터)를 적용하였는데, http packet이 capture가 되지 않음 -> 아이캠퍼스 주소는 https://icampus.skku.edufh https 프로토콜을 이용하기 때문에, https로 필터링을 해줘야함 terminal에서 ping icampus.skku.edu command를 이용해 서버의 ip를 찾은 후, "ip.addr == 115.145.133.120 && ssl"이라는 필터를 적용하여 https packet을 캡처할 수 있음 https 프로토콜이기 때문에 아래와 같이 packet이 암호화 돼있음 ![](

2022년 9월 19일
·
0개의 댓글
·

와이어샤크 - 7. 상위 계층 프로토콜

참고자료: 와이어샤크 패킷 분석 3/e DHCP Dynamic Host Configuration Protocol 옛날에는 컴퓨터를 네트워크로 연결하려면 직접 주소를 할당해야 했다고 함.. 번거로워서 Bootstrap Protocol이라는게 만들어졌고, DHCP로 발전됐다고 함. DHCP는 컴퓨터가 IP 주소를 자동으로 얻을 수 있는 응용층 프로토콜이라고 함. 패킷 구조 DHCP 초기화 과정 Discover, Offer, Request, Acknowledgement 4가지 패킷으로 초기화가 진행됨. 앞 글자를 따서 DORA 프로세스라고 부른다고 함.. DHCP 초기화 과정 직접 확인해보기 ![](https://velog.velcdn.com/im

2022년 9월 3일
·
0개의 댓글
·

와이어샤크 - 6. transport layer

참고자료: 와이어샤크를 활용한 실전 패킷 분석 3/e TCP Transmission Control Protocol TCP의 가장 큰 목표는 host-to-host 데이터 전달에 신뢰성을 주는 것이라고 함. TCP는 데이터를 전송하기 전에 연결을 설정하기 때문에 connection-oriented 프로토콜이라 불림. rfc 793 - TCP 패킷 구조 port 모든 TCP 통신은 TCP 헤더에 있는 발신지, 목적지 포트 번호를 이용한다고 함. 서버로 요청하는 경우, 발신지 포트는 그다지 중요하지 않고, 수신 대기 중인 목적지 포트를 알아야 함. port 분류 시스템 포트 그

2022년 8월 30일
·
0개의 댓글
·

와이어샤크 - 5. network layer

참고자료: 와이어샤크를 활용한 실전 패킷 분석 3/e 개요 ARP, IPv4, IPv6, ICMP, ICMPv6 같은 네트워크 계층 프로토콜을 다룸 ARP 배경지식 Address Resolution Protocol의 약자. 논리 주소와 물리 주소. 논리 주소는 여러 네트워크를 통해 간접적으로 연결된 장치 간의 통신. 물리 주소는 하나의 네트워크에서 스위치를 통해 직접 연결된 장치 간의 통신. 대부분의 경우 통신을 위해 이 2가지 주소 지정 방식이 함께 동작한다고 함. 스위치에는 CAM(Content Addressable Memory) 테이블이 있다고 함. 이 테이블에는 각 포트에 연결된 모든 장치의 MAC 주소가 나열되어 있음. 스위치는 CAM을 이용해서 어떤 포트로 트래픽을 보낼지 결정한다고 함. * TCP/IP (IPv4)에서 IP 주소를 MAC 주소로 해석하는게 RFC 826에 정의된 ARP라고 함. * [rfc 826 - E

2022년 8월 30일
·
0개의 댓글
·

와이어샤크 - 4. 커맨드라인 도구 이용

개요 wireshark 대신 커맨드라인 도구를 사용하는 이유 GUI 도구인 wireshark보다 더 빠르다고 함. 유닉스 파이프라인을 이용해서 다른 도구에 결과를 제공하는데 적합하다고 함.. 와이어샤크는 종합툴이지만 커맨드라인 툴을 사용하면 원하는 정보만 얻을 수도 있다고 함.. tcpdump는 가장 인기있는 커맨드라인 패킷 분석 애플리케이션이라고 함. 패킷 캡처 패킷 캡처 결과 출력 필터 적용 질문들 ICMP 프로토콜 까먹음. 유닉스 파이프라인 이용해서 tcmpdump 결과를 다른 도구에 직접 제공하는게 무슨 말인지 정확히 모르겠음. 직접 해보면 바로 감잡을듯 한데.. tcpdump 결과 읽는거 어색함 tcpdump 통계 기능 모름

2022년 8월 29일
·
0개의 댓글
·
post-thumbnail

와이어샤크 - 3. 와이어샤크 시작하기

개요 와이어샤크는 패킷 스니핑 애플리케이션 중에 하나. 역사 1998년에 GNU public license에 따라 처음 발표됐고, 2006년에 wireshark라는 이름으로 변경됐다고 함. 현재 500명 정도가 개발하고 있다고 함! 장점 1000개 이상의 다양한 프로토콜을 지원한다고 함. IP, DHCP, DNP3?, BitTorrent 등 사용자 편의성 GUI 비용 무료 커뮤니티 활발 오픈소스라서 소스코드 볼 수 있음! wireshark github 무려 85000개의 커밋... 여러 운영체제 지원 윈도우, 리눅스, OS X 등 설치 Wireshark 공식 홈페이지 Download ChmodBPF.pkg라는 것도 설치해줘야 함. (와이어샤크 시작하면 화면에 설치링크 있어

2022년 8월 28일
·
0개의 댓글
·

와이어샤크 - 2. network tapping

개요 데이터를 잘 캡처하기 위해 패킷 스니퍼를 어느 위치?에 배치할지 결정하는게 효과적인 패킷 분석을 위해 중요하다고 함. 패킷 스니퍼를 설치할 장소?를 결정하는 법에 대해 다룸. 무차별 모드 promiscuous mode 네트워크에서 패킷을 스니핑하기 위해서는 무차별 모드 드라이버를 지원하는 네트워크 인터페이스 카드가 필요하다고 함... 클라이언트는 ARP 브로드캐스트 패킷을 수신은 하는데, 자기 MAC 주소가 아니면 그냥 버린다고 함. 이게 효율적이지만 패킷 분석할 때는 좋지 않음. 근데 NIC의 무차별 모드를 사용해 모든 트래픽을 캡처할 수 있다고 함.. 허브에서 스니핑 허브가 설치돼 있는 네트워크에서 스니핑하는 게 왜 패킷 분석가의 꿈이라고 함. 근데 허브 기반 네트워크는 관리가 힘들어서 요즘에는 안쓴다고 함.. 한 번의 하나의 장치만 허브와 통신할 수 있다고 함.. 그래서 허브에 연결된 장치들은 서로 경쟁한다

2022년 8월 28일
·
0개의 댓글
·