Puzzle 4.
1. Mr.X가 사용한 스캐너의 IP 주소는 무엇인가?
스캐너면, src ip는 일정하고 dst는 여러 개(혹은 1개) 일 것이다. 그럼 찾아보자.
당연하게도, syn flag가 1일 것이다. tcp.flags.syn == 1
2. Mr.X가 수행한 첫 번째 포트 스캔은 어떠한 방식으로 이루어졌는가?
1번의 답을 찾았으면, 어렵지 않다. ip를 기준으로 검색을 하던가, stream을 기준으로 검색해봤을 때 flag들이 어떻게 주고 받아 졌는지를 찾아보면 된다.
전송 flag는 syn / 수신 flag는 rst + ack.
3. Mr.X가 목표로 하는 IP 주소는 무엇인가?
이건 뭐,, 1번을 풀었으면 당연히 알게 된다.
4. Mr.X가 찾은 Apple 시스템의 MAC주소는 무엇인가?
전항과 마찬가지이다.
5. Mr.X가 찾은 Windows 시스템의 IP주소는 무엇인가?
이건 조금 더 찾아봐야한다. Windows니까, 4번에서 찾은 Apple은 배제할 수 있을 거고, 그럼 2개 중 1개가 정답일 것이다. 그럼 각각의 ip를 기준으로 검색해보자.
참고사항
- 운영체제별 ICMP TTL
Windows : 128
Linux : 255
MAC : 64
참고사항에서 살펴본 것처럼, ICMP의 TTL이 Windows에서는 128이다. 그럼 두 ip 중 icmp 프로토콜의 ttl 값을 확인해본다면, flag를 찾을 수 있을 것이다.
6. Windows시스템에서 열려있는 TCP 포트는 무엇인가? (10진수로 낮은 번호부터 높은 번호 순으로)
5번에서 ip를 알아냈으니, 그 ip를 기준으로 검색해보면 된다. 열려있는 TCP 포트라면, 패킷이 "주고 받아졌을" 것이다. 그럼 wireshark에서 검색해봤을 때 패킷이 주고받아진 것을 분석하면 된다.
- NM에서는 그냥 자동으로 해주기도 한다.
출처 : https://www.kyobobook.co.kr/product/detailViewKor.laf?ejkGb=KOR&mallGb=KOR&barcode=9791196058432
Forensic/Security/IT