와이어샤크로 공격패킷 분석을 통한 해커추적
와이어샤크는 네트워크 패킷분석을 할때 정말 유용한 프로그램 입니다.
이번 시간에는 와이어샤크를 통해서 유해패킷을 찾아내고 그속에서 공격패킷의 유형을 분석해서
어떤 해킹을 당했는지 알아보겠으며 아울러 지난 시간 ARP스푸핑 에 이어서 오늘은 DNS 스푸핑
해킹시연이 있겠습니다.
와이어샤크를 통한 유해패킷 분석실무
와이어 샤크는 저장이 가능하기 때문에 시나리오상 공격받은 패킷을 다운받아서 열어봅니다.
그후에 필터옵션으로 arp스푸핑이 의심이 가기 때문에 " arp.opcode==2 " 라고 줍니다.
이 옵션은 지난번에도 언급한 적 있지만 응답받은 것을 추출해 낼 수 있습니다.
MAC address 가 00:d0:cb:2c:b0:02 에서 00:50:bf:d9:9d:47로 변경 된것을 확인 할 수 있습니다.
이것을 통해서 MAC주소를 위조 하고 있다는 것을 알 수 있으며 ARP 스푸핑 공격이라는 것을 알 수 있습니다.
자 그러면 바뀌는 부분을 좀더 확대해서 살펴 보도록 하겠습니다/.
(1)
(2)
MAC주소를 사기치고 있다는 것은 스푸핑(사기공격) ARP스푸핑 공격이 라는것을 눈치 챌 수가 있습니다.
자 그러면 여기서 얻은 단서는 공격자의 IP가 125.128.26.254 라는 것을 알 수 있습니다.
이를 토대로 와이어샤크 필터옵션에 ip.addr==125.128.26.150 이라고 적용하고 돌려 보겠습니다.
프로토콜 순으로 적용해서 UDP 프로토콜을 찾아서 보니 NO.50번을 자세히 살펴보면...
공격자의 MAC주소와 IP주소를 추출해 낼 수 있었습니다. 이로서 해커추적 완료!
