DoS 발생시 정상 통신과 이상통신 구분 (2012 Code Gate Network 200) 2012. 9. 14

목차 준비 문제내용 문제해결 접근 방법 주요 명령어 및 토론 별첨. NetWitness Investigator 9.6 외

준비 Wireshark Packet capture file : A565CF2670A7D77603136B69BF93EA45 명령어 (sort, uniq 등등) ※ wireshark 실행 화면 ※ 홈페이지 : http://www.wireshark.org ※ tshark 실행 화면

Code Gate2012 DoS attack 문제내용 클라이언트 PC에서 PCAP파일을 만든 파일로, 공격과 정상패킷을 구분하는 문제 공격 대상지 TOP4를 찾아 해당 국가명을 이용하여 Answer 문장 완성

111.221.70.11 어떻게 접근할 것인가? Dos 공격의 특징은? Hit Client PC !! Count ? Or System resource ? 어떻게 찾을 것인가? wireshakr? Tshark? Hit Statistics > IP Destinations (참고. http://stih.tistory.com/18) tshark -r A565CF2670A7D77603136B69BF93EA45 -Tfields -e ip.dst | sort | uniq -c | sort /r > sort-dst_ip.txt (참고. http://blog.naver.com/eyunchang) 의심IP 111.221.70.11 …… 그외 IP 들

IP Spoofing 을 이용한 SYN flooding 정상 ? 공격? Client PC에서 캡쳐한 결과 Hit IP Spoofing Answer IP Spoofing 을 이용한 SYN flooding 111.221.70.11(Singapore Singapore Microsoft) 확정 RST 패킷이 안 보임… hit Filter Ip.dst!=111.221.70.11 이후 File > Export Spe.. > Racket Range displayed selected tshark -r A565CF2670A7D77603136B69BF93EA45 -w n_111.221.70.11.pcap ip.dst!=111.221.70.11 ※ display filter 사용시 ip.addr !=111.221.70.11 ? !ip.addr ==111.221.70.11 주의

Tip Display Filter 실수 피하기 Display Filter 구문 : ip.addr !=1.1.1.1 정확한 Filter 구문 !ip.addr==1.1.1.1 이어야만, 출발지와 목적지에 1.1.1.1를 뺀 나머지 부분이 표기됨 Sender IP Address Destination IP Address Packet 의 표시여부 1.1.1.1 255.255.255.255 Packet이 표시됨 10.9.9.9

그외 다른 목적지IP는 정상? 공격?(계속) IP 1.2.3.4 는? IP 109.123.118.42 는? tshark -r A565CF2670A7D77603136B69BF93EA45 -Tfields -e ip.src ip.dst==1.2.3.4 | sort | uniq -c | sort /r > sort-src_all-dst_1_2_3_4.txt IP 8.8.8.8 은 DNS ? Hit Client PC 80port 사용? 동일 패턴 반복 GET / HTTP/1.1 Answer GET flooding 109.123.118.42 (United Kingdom London) 확정

그외 다른 목적지IP는 정상? 공격?(동일 방식으로 계속) IP 174.35.40.44 (United States San Jose Cdnetworks Inc) 는 ? ※ [ TCP Dup ACK ????????#1] 재전송 내용임. Tip 패킷에서 바이너리 파일 추출 Filter Ip.addr =174.35.40.44 이후 File > Export Spe.. > Racket Range displayed selected File > Export Object tshark -r A565CF2670A7D77603136B69BF93EA45 –w 174.35.40.44.pcap ip.addr==174.35.40.44 (참고. http://blog.naver.com/eyunchang) NetWitness Investigator 실행

그외 다른 목적지IP는 정상? 공격?(계속) ….. 무한의 노력과 지루한 싸움…… tshark -r A565CF2670A7D77603136B69BF93EA45 -Tfields -e ip.dst -e http.user_agent -R "http.user_agent" |sort |uniq -c | sort /r 무엇이 이상한가?

그외 다른 목적지IP는 정상? 공격?(계속) RUDY? http post 공격으로 요청헤더를 매우 크게 잡고 실제 데이터는 작게 보내는 공격 (참고. http://www.hackthepacket.com/entry/DoS-RUDY) tshark -r A565CF2670A7D77603136B69BF93EA45 -Tfields -e ip.dst -R "http.request.method == POST or tcp.data contains 50:4f:53:54 or data.len == 1 " |sort |uniq -c | sort /r Wireshark에서는 ? 참고. TCP segment of reassembled PUD , http://blog.naver.com/PostView.nhn?blogId=siren258&logNo=139046854 MTU ? D:\edu>netsh interface ipv4 show interface Answer R-U-D-Y 199.7.48.190(United States) 확정

그외 다른 목적지IP는 정상? 공격?(동일 방식으로 계속) IP 66.150.14.48 (United States Bellevue Pinball Corp.) 는 ? Hit Tcp port number reused SRC 80 ? Answer 66.150.14.48 (United States Bellevue Pinball Corp.) 확정

주요 명령어 및 토론 관제자의 입장에서 DoS 공격탐지는 ? 지금까지 사용한 주요 명령어들 지금까지 사용한 주요 명령어가 탐지에 도움이 되는가? 관제자에게 무엇이 중요한가?(무엇을 확인해야 하는가?) 지금까지 사용한 주요 명령어들 tshark -r A565CF2670A7D77603136B69BF93EA45 -Tfields -e ip.dst | sort | uniq -c | sort /r > sort-dst_ip.txt tshark -r n_111.221.70.11.pcap -R http.request -Tfields -e ip.dst -e http.request.uri | sort | uniq -c | sort /r | head tshark -r A565CF2670A7D77603136B69BF93EA45 -Tfields -e ip.src -e ip.dst http.cache_control=="no-cache" | sort | uniq -c | sort /r | head tshark -r A565CF2670A7D77603136B69BF93EA45 -Tfields -e ip.dst -e http.user_agent -R "http.user_agent" |sort |uniq -c | sort /r tshark -r A565CF2670A7D77603136B69BF93EA45 -Tfields -e ip.dst -R "http.request.method == POST or tcp.data contains 50:4f:53:54 or data.len == 1 " |sort |uniq -c | sort /r

별첨. NetWitness Investigator 9.6

별첨. Colasoft Packet Builder

감사합니다.