[네트워크 보안] 네트워크 패킷 분석 문제 ( 포트 스캔 / DNS )

네트워크 패킷 분석 문제에 대해서 정리한다.

- challengescan.pcapng
 

challengescan.pcapng

1. 스캐닝 하는 호스트의 아이피 주소는 무엇인가?
 
192.168.1.141
 
 
2. 타겟 호스트의 아이피 주소는 무엇인가?
 
192.168.1.123
 
 
3. 열려있는 TCP PORT는 어떤 것들이 있는가?
 
68번이 SYN 요청을 받았을때 SYN+ACK 응답을 보내온걸 보고 열려 있다는걸 알 수 있다.
 
 
4. ICMP 패킷 중에 표준 타입과 코드가 들어있지 않은 패킷의 번호는 몇번인가?
 
  - 3번 type 8 번호는 정상이지만 code번호가 123번으로 비정상적인 번호가 들어있다.
  - 4번 type 0 번호는 정상이지만code번호가 123번으로 비정상적인 번호가 들어있다.
  - 832번
  - 833번
 
5. 호스트를 스캐닝 하는 프로그램은 무엇인가?
 
  nessus

 

( 패킷을 열어 얼마 내리지 않았는데 수상한 패킷을 발견해서 보니 192.168.1.141이 192.168.1.123에게 TCP SYN 요청을 1번 포트부터

차례대로 계속 보내는걸 확인 할 수 있는데 이부분을 보고 포트 스캔을 한다고 추측 할 수 있다 )

( 149번~151번까지의 패킷을 보면 IP 192.168.1.141이 192.168.1.123에게 SYN을 보냈을때 SYN+ACK 응답이 오고

다시 141번이 SYN을 보내주면서 세션이 맺어지는걸 볼 수 있는데 이걸 보고 Full-Scan을 진행한걸 알 수 있다 )

( 3번과 4번 패킷을 확인해보면 ICMP를 이용한 통신을 하고 있는데 프로토콜 설정을 보면 Type이 0번과 8번인 요청 응답인데

코드번호는 ICMP 표준과 다른 123번으로 되있는걸 확인 할 수 있었고 832번과 833번도 마찬가지였다 )

 
 
- challengednstrouble.pcapng
 

challengednstrouble.pcapng

 
1. 클라이언트가 조회 하려는 FQDN은 무엇인가?
 
  - flane.de
 
2. 첫 번째 DNS 쿼리는 어떤 IP 주소로 전송됩니까?
 
  - 192.168.129.111
 
3. 두 번째 DNS 쿼리는 어떤 IP 주소로 전송됩니까?
 
  - 81.209.147.10
 
4. 추적 파일에는 어떤 최상위 국가 코드 도메인을 담당하는 인증 DNS 서버가 포함되어 있습니까?
 
  - .de
 
5. 호스트 이름을 확인할 때 오래 지연되는 호스트의 IP 주소는 무엇입니까?
 
  - 81.209.147.10

( 1번인 DNS 요청 패킷에서 확인을 해보면 클라이언트인 192.168.129.127이 조회하려는 FQDN은 flane.de라는걸 알 수 있고

첫번째 DNS 쿼리는 192.168.129.111로 전송이 되는데 아무래도 캐시 서버가 아닐까 추측해본다... )

( 2번 패킷을 확인 해보면 192.168.129.111에서 81.209.147.10으로 DNS 두번째 쿼리가 전송되는걸 볼 수 있고

호스트 이름을 확인할때 81.209.147.10은 3번동안 시도하지만 끝내는 응답을 해주지 않았다.. )

( 7번 패킷을 보면 이 파일 안에는 최상위 도메인인 .de를 담당하는 인증 DNS 서버가 포함 되어있고

주소는 192.58.128.30이라는걸 알 수 있다 )