본문 바로가기

분류 전체보기154

Independence Day Spammail Independence Day : 미국의 독립기념일 (7월 4일) 2009년 7월 7일 발생한 대규모 DDoS 공격을 수행하는 웜에 감염된 컴퓨터에서 발생시키는 스팸 메일을 탐지한다. 해당 웜에 감염되면 컴퓨터에 저장되어 있는 이메일 정보를 수집하여 첨부파일이 포함된 대량의 스팸 메일을 발생시키며, 첨부파일은 헤더가 조작된 RAR 압축 파일이다. 스팸 메일 제목은 "Memory Of..."이며, 메일 발송자가 "Independence"로 표시되어 미국의 독립기념일을 겨냥한 스팸 메일이다. 해당 공격의 탐지문자열 UmFyIRoHAM+QcwAADQAAAAAAAAA= 해당 탐지 문자열을 디코딩 하게되면 Rar!ϐs 이 값이 나온다.. 취약 시스템 : Windows 95/98/ME Windows NT Win.. 2020. 3. 27.
와이어샤크(WireShark) - Transport Layer [TCP] 분석 TCP = 4계층 프로토콜 1. Source port : 출발지의 프로세스 포트 번호가 나타난다. 프로세스란 프로그램을 구성하는 단위이다. 2. Destination port : 목적지의 프로세스 포트 번호가 나타난다. TCP는 지정 포트 사용 3. Stream index : 4. TCP Stream Len : TCP 스트림의 길이 5. Sequence number : 전송되는 데이터의 크기를 누적시키며 순서를 알려준다. 6. Next Sequence number : 다음 시퀀스 번호가 나타난다. 실제로는 현재 시퀀스 번호에 송신할 TCP 데이터의 크기를 더한 수치가 된다. 7. Acknowledgement number : 확인 응답 번호라고 하며, 수신한 TCP 세크먼트의 위치가 번호로 나타난다. 실제.. 2020. 3. 26.
와이어샤크(WireShark) - DataLink Layer [Ethernet 2] 분석 Ethernet 2 -> 2계층 프로토콜!!!! 1. Destination : 목적지 랜카드가 표시된다. 미리 부여 되어있는 MAC 주소를 이용한다. 2. Source : 출발지 랜카드가 MAC주소로 표시된다. -LG bit : Globally unique address (factory default) MAC주소가 공장 출하 시의 주소, 원래 부여된 주소임을 의미한다. -IG bit : Individual address(unicast) 유니캐스트 통신임을 나타낸다. (브로드캐스트인지 유니인지) 3. Type : 이더 타입이라고 하며, Ethernet2 뒤에 이어지는 헤더 형식을 지정! IP라고 표시되어있으면 다음 IP헤더가 이어진다는 뜻 * MAC 주소에서 앞에 3byte는 회사 고유 번호! 뒤에 3by.. 2020. 3. 26.
와이어샤크(WireShark) - DataLink Layer [Frame]분석 Frame = 2계층이다! data-link 1. interface id : 패킷을 캡처한 인터페이스 번호를 나타낸다! (여기 이미지에는 없지만..) 2. Encapculation type : 패킷의 캡슐화 종류! Ethernet (1) = Ethernet 2 패킷으로 캡슐화 되어 있다! -> 근데 다른거는 아직 모르겠다. 3. Arrival Time : 패킷을 캡처한 시간 4. Time Shift for this packet : 패킷 표시 시간을 이동시키는 타임 시프트 기능을 이용하고 있으며 해당 시간이 표시 -> 일반적으로 0이 된다. 5. Epoch time : 유닉스 시각 형식의 시리얼 값(1970년 1월 1일 0시 0분 기준) 6. Time delta from previous captured f.. 2020. 3. 26.
728x90
반응형

티스토리툴바