[ESPC1] 0x11

사용자가 링크를 찍고 열었던 것들이 패킷안에 들어있을 것이다.
로컬 컴퓨터 상에 해당 페이지를 그대로 구현을 해보자!!

구현결과 : websidan.zip 을 확인하면 알 수 있다.

저번시간에 보았던 File Magic Number(파일 매직 넘버)
http://hybridego.net/entry/File-Header  
http://www.astro.keele.ac.uk/oldusers/rno/Computing/File_magic.html 

 = 좀 더 쉬운 방법 =

Wireshark 메뉴에서
File > Export > Objects > HTTP


= File Header 를 살펴보자 =

DATA

Application | DATA

TCP | Application | Data

IP | TCP | Application | Data

Ethernet | IP | TCP | Application | Data

 => Data 하나를 보낸다고 하면 위에서 아래로 구성이 되는 것이다. 마지막에 전체 완성된 것을 Ethernet Frame 이라고 한다.

Ethernet 헤더는 출발지와 목적지의 Mac Address 로만 구성이 되어있다.
예) ff:ff:ff:ff:ff:ff (Mac 에서의 Broadcast 주소)

여기에서 Version : 4 // Header length : 20bytes 인 것을 확인할 수 있다.
실제 Binary 에서 확인을 하면 45인데 (상위 4 하위 5 를 나타낸다.)
그래서 상위 Bit 인 4 는 Version 을 나타내고 하위 Bit 인 5는 Header length 를 나타낸다.
하위 Bit 같은 경우에는 x4 를 해주면 몇 byte 인지 확인할 수 있다. 지금과 같은 경우는 5 이므로 20 bytes 가 되는 것이다.

= ppa-capture files =
문제1) 

=> 이 파일을 열어보면 Barry 는 연결이 되었는데 Beth 는 연결을 하지 못해서 헤매는 것을 확인할 수 있다. 그 원인은 패킷의 첫번째줄을 비교 하면 알 수 있다.

=> 추측을 통해서 타겟IP 즉, Gateway IP를 잘못 적어주었다는 것을 확인할 수있다.

= 실습 문제 =
attack.pcap 이라는 파일을 볼 수 있다.
해당 Dump 를 보고

1. 공격자가 무엇을 알고 싶어서 어떤식의 공격을 했는지 확인
=> Port scanning
2. 그것이 제대로 성공했는지
=> 80 번을 제외하고 Syn, Ack 을 주지 않는다는 것을 볼 수 있다.
3. 어떠한 툴이 이용이 되었는지
=> GET http://www.acunetix.wvs HTTP/1.1