연산자 사용
host 192.168.0.1 && tcp port 80 : 192.~ ip에서 발생하는 80포트만 캡쳐
src host 192.168.0.9 : 출발지 ip
dst host 192.168.0.251 : 도착지 ip
port 8080
not port = !port 8080 : port가 8080이 아닌 것만 수집
직접 샘플 캡처 후 PCAP 파일 분석
.. 문제 발생
올려주신 패킷 파일을 다운받으랴고 하였으나 바이러스로 인해 다운 불가 -> 그냥 문제 풀이 과정 플로우를 따라가면서 해결하기로 결정
Statistics → Resolved Addresses 패킷 정보 안에 도메인이 몇 개인지 분석
Statistics → Protocol Hierarchy 어떤 프로토콜에서 공격이 발생했는지 확인
TCP의 비율이 84.4%
그 중에서도 HTTP가 77.8%
MIME Mulitpart Media Encapsulation의 비율이 적지만 차지하는 퍼센트가 있기 때문에 첨부파일로 인한 공격도 의심 가능
Statistics → Conversations 통신하는 과정에서 포트 정보를 기준으로 확인
Statistics → HTTP → Packet Counter 패킷 정보가 많을 때 HTTP 에러 코드가 어디에서 많이 발생했는지 확인
networkminer
POST 방식을 사용해서 로그인
TCP Stream을 html 파일로 저장
공격자가 가지고 온 DB (Webshell을 통해 DB에 접속하고 가지고 옴)
php-backdoor.php