Download presentation
Presentation is loading. Please wait.
Published bySiska Cahyadi Modified 6년 전
1
DoS 발생시 정상 통신과 이상통신 구분 (2012 Code Gate Network 200)
2
목차 준비 문제내용 문제해결 접근 방법 주요 명령어 및 토론 별첨. NetWitness Investigator 9.6 외
3
준비 Wireshark Packet capture file : A565CF2670A7D B69BF93EA45 명령어 (sort, uniq 등등) ※ wireshark 실행 화면 ※ 홈페이지 : ※ tshark 실행 화면
4
Code Gate2012 DoS attack 문제내용
클라이언트 PC에서 PCAP파일을 만든 파일로, 공격과 정상패킷을 구분하는 문제 공격 대상지 TOP4를 찾아 해당 국가명을 이용하여 Answer 문장 완성
5
111.221.70.11 어떻게 접근할 것인가? Dos 공격의 특징은? Hit Client PC !!
Count ? Or System resource ? 어떻게 찾을 것인가? wireshakr? Tshark? Hit Statistics > IP Destinations (참고. tshark -r A565CF2670A7D B69BF93EA45 -Tfields -e ip.dst | sort | uniq -c | sort /r > sort-dst_ip.txt (참고. 의심IP …… 그외 IP 들
6
IP Spoofing 을 이용한 SYN flooding
정상 ? 공격? Client PC에서 캡쳐한 결과 Hit IP Spoofing Answer IP Spoofing 을 이용한 SYN flooding (Singapore Singapore Microsoft) 확정 RST 패킷이 안 보임… hit Filter Ip.dst!= 이후 File > Export Spe.. > Racket Range displayed selected tshark -r A565CF2670A7D B69BF93EA45 -w n_ pcap ip.dst!= ※ display filter 사용시 ip.addr != ? !ip.addr == 주의
7
Tip Display Filter 실수 피하기
Display Filter 구문 : ip.addr != 정확한 Filter 구문 !ip.addr== 이어야만, 출발지와 목적지에 를 뺀 나머지 부분이 표기됨 Sender IP Address Destination IP Address Packet 의 표시여부 Packet이 표시됨
8
그외 다른 목적지IP는 정상? 공격?(계속) IP 는? IP 는? tshark -r A565CF2670A7D B69BF93EA45 -Tfields -e ip.src ip.dst== | sort | uniq -c | sort /r > sort-src_all-dst_1_2_3_4.txt IP 은 DNS ? Hit Client PC 80port 사용? 동일 패턴 반복 GET / HTTP/1.1 Answer GET flooding (United Kingdom London) 확정
9
그외 다른 목적지IP는 정상? 공격?(동일 방식으로 계속)
IP (United States San Jose Cdnetworks Inc) 는 ? ※ [ TCP Dup ACK ????????#1] 재전송 내용임. Tip 패킷에서 바이너리 파일 추출 Filter Ip.addr = 이후 File > Export Spe.. > Racket Range displayed selected File > Export Object tshark -r A565CF2670A7D B69BF93EA45 –w pcap ip.addr== (참고. NetWitness Investigator 실행
10
그외 다른 목적지IP는 정상? 공격?(계속) ….. 무한의 노력과 지루한 싸움…… tshark -r A565CF2670A7D B69BF93EA45 -Tfields -e ip.dst -e http.user_agent -R "http.user_agent" |sort |uniq -c | sort /r 무엇이 이상한가?
11
그외 다른 목적지IP는 정상? 공격?(계속) RUDY? http post 공격으로 요청헤더를 매우 크게 잡고 실제 데이터는 작게 보내는 공격 (참고. tshark -r A565CF2670A7D B69BF93EA45 -Tfields -e ip.dst -R "http.request.method == POST or tcp.data contains 50:4f:53:54 or data.len == 1 " |sort |uniq -c | sort /r Wireshark에서는 ? 참고. TCP segment of reassembled PUD , MTU ? D:\edu>netsh interface ipv4 show interface Answer R-U-D-Y (United States) 확정
12
그외 다른 목적지IP는 정상? 공격?(동일 방식으로 계속)
IP (United States Bellevue Pinball Corp.) 는 ? Hit Tcp port number reused SRC 80 ? Answer (United States Bellevue Pinball Corp.) 확정
13
주요 명령어 및 토론 관제자의 입장에서 DoS 공격탐지는 ? 지금까지 사용한 주요 명령어들
지금까지 사용한 주요 명령어가 탐지에 도움이 되는가? 관제자에게 무엇이 중요한가?(무엇을 확인해야 하는가?) 지금까지 사용한 주요 명령어들 tshark -r A565CF2670A7D B69BF93EA45 -Tfields -e ip.dst | sort | uniq -c | sort /r > sort-dst_ip.txt tshark -r n_ pcap -R http.request -Tfields -e ip.dst -e http.request.uri | sort | uniq -c | sort /r | head tshark -r A565CF2670A7D B69BF93EA45 -Tfields -e ip.src -e ip.dst http.cache_control=="no-cache" | sort | uniq -c | sort /r | head tshark -r A565CF2670A7D B69BF93EA45 -Tfields -e ip.dst -e http.user_agent -R "http.user_agent" |sort |uniq -c | sort /r tshark -r A565CF2670A7D B69BF93EA45 -Tfields -e ip.dst -R "http.request.method == POST or tcp.data contains 50:4f:53:54 or data.len == 1 " |sort |uniq -c | sort /r
14
별첨. NetWitness Investigator 9.6
15
별첨. Colasoft Packet Builder
16
감사합니다.
Similar presentations