Presentation is loading. Please wait.

Presentation is loading. Please wait.

DoS 발생시 정상 통신과 이상통신 구분 (2012 Code Gate Network 200) 2012. 9. 14.

Similar presentations


Presentation on theme: "DoS 발생시 정상 통신과 이상통신 구분 (2012 Code Gate Network 200) 2012. 9. 14."— Presentation transcript:

1 DoS 발생시 정상 통신과 이상통신 구분 (2012 Code Gate Network 200)

2 목차 준비 문제내용 문제해결 접근 방법 주요 명령어 및 토론 별첨. NetWitness Investigator 9.6 외

3 준비 Wireshark Packet capture file : A565CF2670A7D B69BF93EA45 명령어 (sort, uniq 등등) ※ wireshark 실행 화면 ※ 홈페이지 : ※ tshark 실행 화면

4 Code Gate2012 DoS attack 문제내용
클라이언트 PC에서 PCAP파일을 만든 파일로, 공격과 정상패킷을 구분하는 문제 공격 대상지 TOP4를 찾아 해당 국가명을 이용하여 Answer 문장 완성

5 111.221.70.11 어떻게 접근할 것인가? Dos 공격의 특징은? Hit Client PC !!
Count ? Or System resource ? 어떻게 찾을 것인가? wireshakr? Tshark? Hit Statistics > IP Destinations (참고. tshark -r A565CF2670A7D B69BF93EA45 -Tfields -e ip.dst | sort | uniq -c | sort /r > sort-dst_ip.txt (참고. 의심IP …… 그외 IP 들

6 IP Spoofing 을 이용한 SYN flooding
정상 ? 공격? Client PC에서 캡쳐한 결과 Hit IP Spoofing Answer IP Spoofing 을 이용한 SYN flooding (Singapore Singapore Microsoft) 확정 RST 패킷이 안 보임… hit Filter Ip.dst!= 이후 File > Export Spe.. > Racket Range displayed selected tshark -r A565CF2670A7D B69BF93EA45 -w n_ pcap ip.dst!= ※ display filter 사용시 ip.addr != ? !ip.addr == 주의

7 Tip Display Filter 실수 피하기
Display Filter 구문 : ip.addr != 정확한 Filter 구문 !ip.addr== 이어야만, 출발지와 목적지에 를 뺀 나머지 부분이 표기됨 Sender IP Address Destination IP Address Packet 의 표시여부 Packet이 표시됨

8 그외 다른 목적지IP는 정상? 공격?(계속) IP 는? IP 는? tshark -r A565CF2670A7D B69BF93EA45 -Tfields -e ip.src ip.dst== | sort | uniq -c | sort /r > sort-src_all-dst_1_2_3_4.txt IP 은 DNS ? Hit Client PC 80port 사용? 동일 패턴 반복 GET / HTTP/1.1 Answer GET flooding (United Kingdom London) 확정

9 그외 다른 목적지IP는 정상? 공격?(동일 방식으로 계속)
IP (United States San Jose Cdnetworks Inc) 는 ? ※ [ TCP Dup ACK ????????#1] 재전송 내용임. Tip 패킷에서 바이너리 파일 추출 Filter Ip.addr = 이후 File > Export Spe.. > Racket Range displayed selected File > Export Object tshark -r A565CF2670A7D B69BF93EA45 –w pcap ip.addr== (참고. NetWitness Investigator 실행

10 그외 다른 목적지IP는 정상? 공격?(계속) ….. 무한의 노력과 지루한 싸움…… tshark -r A565CF2670A7D B69BF93EA45 -Tfields -e ip.dst -e http.user_agent -R "http.user_agent" |sort |uniq -c | sort /r 무엇이 이상한가?

11 그외 다른 목적지IP는 정상? 공격?(계속) RUDY? http post 공격으로 요청헤더를 매우 크게 잡고 실제 데이터는 작게 보내는 공격 (참고. tshark -r A565CF2670A7D B69BF93EA45 -Tfields -e ip.dst -R "http.request.method == POST or tcp.data contains 50:4f:53:54 or data.len == 1 " |sort |uniq -c | sort /r Wireshark에서는 ? 참고. TCP segment of reassembled PUD , MTU ? D:\edu>netsh interface ipv4 show interface Answer R-U-D-Y (United States) 확정

12 그외 다른 목적지IP는 정상? 공격?(동일 방식으로 계속)
IP (United States Bellevue Pinball Corp.) 는 ? Hit Tcp port number reused SRC 80 ? Answer (United States Bellevue Pinball Corp.) 확정

13 주요 명령어 및 토론 관제자의 입장에서 DoS 공격탐지는 ? 지금까지 사용한 주요 명령어들
지금까지 사용한 주요 명령어가 탐지에 도움이 되는가? 관제자에게 무엇이 중요한가?(무엇을 확인해야 하는가?) 지금까지 사용한 주요 명령어들 tshark -r A565CF2670A7D B69BF93EA45 -Tfields -e ip.dst | sort | uniq -c | sort /r > sort-dst_ip.txt tshark -r n_ pcap -R http.request -Tfields -e ip.dst -e http.request.uri | sort | uniq -c | sort /r | head tshark -r A565CF2670A7D B69BF93EA45 -Tfields -e ip.src -e ip.dst http.cache_control=="no-cache" | sort | uniq -c | sort /r | head tshark -r A565CF2670A7D B69BF93EA45 -Tfields -e ip.dst -e http.user_agent -R "http.user_agent" |sort |uniq -c | sort /r tshark -r A565CF2670A7D B69BF93EA45 -Tfields -e ip.dst -R "http.request.method == POST or tcp.data contains 50:4f:53:54 or data.len == 1 " |sort |uniq -c | sort /r

14 별첨. NetWitness Investigator 9.6

15 별첨. Colasoft Packet Builder

16 감사합니다.


Download ppt "DoS 발생시 정상 통신과 이상통신 구분 (2012 Code Gate Network 200) 2012. 9. 14."

Similar presentations


Ads by Google