2021. 2. 26. 00:48ㆍ정보보안/패킷 포렌식
패킷 분석을 하기 위해 필요한 도구에는 와이어샤크와 네트워크마이너 등의 도구가 있다.
1. 와이어 샤크
와이어샤크의 Statistics - Conversations 에 들어가면 위 그림과 같이 전체 통신의 흐름을 확인할 수 있다.
www.wireshark.org/download.html
Wireshark · Download
Riverbed is Wireshark's primary sponsor and provides our funding. They also make great products that fully integrate with Wireshark. I have a lot of traffic... ANSWER: SteelCentral™ AppResponse 11 • Full stack analysis – from packets to pages • Ric
www.wireshark.org
2. 네트워크 마이너
네트워크마이너 또한 Session 탭에 가면 Client host와 Server host를 알 수 있으며
프레임 번호를 통해 세션 시작지점을 알 수 있다.
www.filecroco.com/download-networkminer/
NetworkMiner - Filecroco
Want to know more about your network? With NetworkMiner, you’ll be able to attain information about your network, such as connected users and hosts. The […]
www.filecroco.com
SSL 통신과정
1. Client Hello
클라이언트가 서버에 연결을 시도하는 과정. 사용가능한 Cipher Suite 목록과 Session ID, SSL Protocol 버전등을 전달
2. Server Hello
클라이언트가 서버에 보내온 ClientHello 패킷을 받아 클라이언트가 사용가능한 Cipher Suite 중 하나를 선택해
Client에게 알림
3. Certificates
서버가 자신이 갖고있는 SSL 인증서를 클라이언트에게 전달함
인증서 내에는 서버가 발행한 공개키가 들어있음
(개인키는 서버가 지님)
패킷 내에 어떤 암호화 알고리즘을 사용했는지, 어떤 해쉬 알고리즘을 사용햇는지 확인이 가능함
4. Server Key Exchange / Server Hello Done
Server Key Exchange는 서버의 공개키가 SSL 인증서 내에 없는경우 서버가 직접 키를 전달
(만약 인증서 내에 SSL 인증서가 있을 경우 이 과정은 생략)하고 그 후 Server Hello 절차가 완료되었음을 알리는
Server Hello Done 패킷 전송
5. Client Key Exchange
클라이언트는 인증서 내부의 공개키로 암호화한 대칭키를 생성해 서버에게 전달
결과적으로 생성되는 키(전달된 키)는 데이터를 실제로 암호화할 대칭키로 premaster secret key이다.
6. Change Cipher Spec
클라이언트와 서버 둘다 통신 준비가 다되었음을 알리는 의미를 가진다.
7. Application Data
실제로 암호화된 데이터가 전달되는 과정이다.
※ 온라인 파일 악성코드 검사 사이트
VirusTotal
www.virustotal.com
'정보보안 > 패킷 포렌식' 카테고리의 다른 글
| 인증서 형태의 악성코드를 포함한 패킷 분석 (0) | 2021.02.28 |
|---|---|
| Emotet 악성코드를 포함한 패킷 분석 (0) | 2021.02.28 |
| 악성코드 패킷 탐지 (0) | 2021.02.26 |
| 악성 패킷 분석 2 (0) | 2021.02.26 |
| 악성 패킷 분석 (0) | 2021.02.26 |