DoS 발생시 정상 통신과 이상통신 구분
Download
Report
Transcript DoS 발생시 정상 통신과 이상통신 구분
DoS 발생시 정상 통신과 이상통신 구분
(2012 Code Gate Network 200)
• 2012. 9. 14
목차
I.
준비
II. 문제내용
III. 문제해결 접근 방법
IV. 주요 명령어 및 토론
별첨. NetWitness Investigator 9.6 외
1.
준비
Wireshark
Packet capture file : A565CF2670A7D77603136B69BF93EA45
명령어 (sort, uniq 등등)
※ wireshark 실행 화면
※ 홈페이지 : http://www.wireshark.org
※ tshark 실행 화면
1.
Code Gate2012 DoS attack 문제내용
클라이언트 PC에서 PCAP파일을 만든 파일로, 공격과 정상패킷을 구분하는 문제
공격 대상지 TOP4를 찾아 해당 국가명을 이용하여 Answer 문장 완성
1.
어떻게 접근할 것인가?
2.
Dos 공격의 특징은?
어떻게 찾을 것인가?
wireshakr?
Tshark?
의심IP
111.221.70.11
…… 그외 IP 들
Hit
Client PC !!
Count ? Or System resource ?
Hit
Statistics > IP Destinations
(참고. http://stih.tistory.com/18)
tshark -r A565CF2670A7D77603136B69BF93EA45 -Tfields -e ip
| sort | uniq -c | sort /r > sort-dst_ip.txt
(참고. http://blog.naver.com/eyunchang)
3.
정상 ? 공격?
Hit
IP Spoofing
Answer
IP Spoofing 을 이용한 SYN flooding
Client PC에서 캡쳐한 결과
111.221.70.11(Singapore Singapore Microsoft) 확정
hit
Filter Ip.dst!=111.221.70.11 이후 File > Export Spe.. > Racket Range displayed selected
tshark -r A565CF2670A7D77603136B69BF93EA45 -w n_111.221.70.11.pcap ip.dst!=111.221.7
※ display filter 사용시
ip.addr !=111.221.70.11 ? !ip.addr ==111.221.70.11 주의
Tip Display Filter 실수 피하기
Display Filter 구문 : ip.addr !=1.1.1.1
Sender IP Address
Destination IP Address
Packet 의 표시여부
1.1.1.1
255.255.255.255
Packet이 표시됨
10.9.9.9
1.1.1.1
Packet이 표시됨
1.1.1.1
10.9.9.9
Packet이 표시됨
정확한 Filter 구문 !ip.addr==1.1.1.1 이어야만, 출발지와 목적지에 1.1.1.1를 뺀 나머지 부분이 표기
3.
그외 다른 목적지IP는 정상? 공격?(계속)
IP 1.2.3.4 는?
tshark -r A565CF2670A7D77603136B69BF93EA45 -Tfields -e ip.src ip.dst==1.2.3.4 | sort |
uniq -c | sort /r > sort-src_all-dst_1_2_3_4.txt
IP 8.8.8.8 은 DNS ?
IP 109.123.118.42 는?
Hit
Client PC 80port 사용?
동일 패턴 반복 GET / HTTP/1.1
Answer
GET flooding
109.123.118.42 (United Kingdom London) 확정
3.
그외 다른 목적지IP는 정상? 공격?(동일 방식으로 계속)
IP 174.35.40.44 (United States San Jose Cdnetworks Inc) 는 ?
※ [ TCP Dup ACK ????????#1]
재전송 내용임.
Tip 패킷에서 바이너리 파일 추출
Filter Ip.addr =174.35.40.44 이후 File > Export Spe.. > Racket Range displayed selected
File > Export Object
tshark -r A565CF2670A7D77603136B69BF93EA45 –w 174.35.40.44.pcap ip.addr==174.35.
(참고. http://blog.naver.com/eyunchang)
NetWitness Investigator 실행
3.
그외 다른 목적지IP는 정상? 공격?(계속)
….. 무한의 노력과 지루한 싸움……
tshark -r A565CF2670A7D77603136B69BF93EA45 -Tfields -e ip.dst -e http.user_agent -R
"http.user_agent" |sort |uniq -c | sort /r
무엇이 이상한가?
3.
그외 다른 목적지IP는 정상? 공격?(계속)
RUDY? http post 공격으로 요청헤더를 매우 크게 잡고 실제 데이터는 작게 보내는 공격
(참고. http://www.hackthepacket.com/entry/DoS-RUDY)
tshark -r A565CF2670A7D77603136B69BF93EA45 -Tfields -e ip.dst -R
"http.request.method == POST or tcp.data contains 50:4f:53:54 or data.len == 1 " |sort
|uniq -c | sort /r
Wireshark에서는 ?
참고. TCP segment of reassembled PUD ,
http://blog.naver.com/PostView.nhn?blogId=siren258&logNo=139046854
MTU ?
D:\edu>netsh interface ipv4 show interface
Answer
R-U-D-Y
199.7.48.190(United States) 확정
3.
그외 다른 목적지IP는 정상? 공격?(동일 방식으로 계속)
IP 66.150.14.48 (United States Bellevue Pinball Corp.) 는 ?
Hit
Tcp port number reused
SRC 80 ?
Answer
66.150.14.48 (United States Bellevue Pinball Corp.) 확정
주요 명령어 및 토론
관제자의 입장에서 DoS 공격탐지는 ?
지금까지 사용한 주요 명령어가 탐지에 도움이 되는가?
관제자에게 무엇이 중요한가?(무엇을 확인해야 하는가?)
지금까지 사용한 주요 명령어들
tshark -r A565CF2670A7D77603136B69BF93EA45 -Tfields -e ip.dst | sort | uniq -c | sort /r > sortdst_ip.txt
tshark -r n_111.221.70.11.pcap -R http.request -Tfields -e ip.dst -e http.request.uri | sort | uniq -c |
sort /r | head
tshark -r A565CF2670A7D77603136B69BF93EA45 -Tfields -e ip.src -e ip.dst
http.cache_control=="no-cache" | sort | uniq -c | sort /r | head
tshark -r A565CF2670A7D77603136B69BF93EA45 -Tfields -e ip.dst -e http.user_agent -R
"http.user_agent" |sort |uniq -c | sort /r
tshark -r A565CF2670A7D77603136B69BF93EA45 -Tfields -e ip.dst -R "http.request.method ==
POST or tcp.data contains 50:4f:53:54 or data.len == 1 " |sort |uniq -c | sort /r
별첨. NetWitness Investigator 9.6
별첨. Colasoft Packet Builder
감사합니다.