[Network Forensic] Week 2: 패킷 분석

패킷분석 실습 with wireshark

 

사건 소개: Ann Dercover가 보석으로 석방된 이후 사라졌다! ... 중략... 

과제: 캡쳐된 패킷에서 앤의 활동과 계획에 대한 정보를 수집하고 분석하는 것

네트워크: 

 - 내부 네트워크: 192.168.30.0/24

 - DMZ: 10.30.30.0/24

 - 인터넷: 172.30.1.0/24

증거:

 - evidence-packet-analysis.pcap

 - 앤의 노트북 MAC 주소: 00:21:70:4D:4F:AE

 

2, 3계층 프로토콜로만 구성되어 있다.

DNS, SMTP, IMAP 이 눈에 띈다. => 이메일 송수신 시 사용하는 프로토콜

 

00:21:70:4D:4F:AE 인 클라이언트가 192.168.30.108이라는 ip를 할당받은 것을 확인

 

Ann Dercover string 검색 -> TCP Stream -> 앤이 보낸 이메일들이 몇 개 보인다

sneakyg33ky@aol.com -> mistersekritx@aol.com

앤의 로그인 정보도 확인 가능.

메일에 들어있던 secretrendezvous.docx 라는 파일 확인.

 

첨부파일로 추정되는 base64로 encoding이 된 부분을 추출하여 파일로 변환