본문 바로가기
SKS!_2024 하계 방학 STUDY

[SKS!/Forensics] 2주차 | Thursday 문제 1 evidence04

Vkuoca 2024. 7. 27. 00:28

Puzzle #4: The Curious Mr. X

 

1. What was the IP address of Mr. X’s scanner?

 

첫번째 패킷을 살펴보면 Flasg에 Syn만 1로 되어 있다. 그리고 TCP SYS 또는 TCP Connectscan 임을 알 수 있다. 
보낸 IP주소가 Mr.X로 확인이 된다. 

: 10.42.42.253

 

2. For the FIRST port scan that Mr. X conducted, what type of port scan was it? (Note: the scan consisted of many thousands of packets.) Pick one: TCP SYN/TCP ACK/UDP/TCP Connect/TCP XMAS/TCP RST

 

ip.dst==10.42.42.253&&tcp.flags.syn==1&&tcp.flags.ack==1로 필터링 한다.

그리고 TCPStream으로 확인해보면 아래와 같이 확인이 된다.

 

확인 결과, TCP 세션이 다음과 같이 정상적으로 연결되고 종료되었다. 

  1. 779번 패킷에서 SYN 패킷을 보냄
  2. 786번 패킷에서 SYN+ACK 패킷을 수신함
  3. 791번 패킷에서 ACK 패킷을 보냄

이로써 TCP Connect로 확인이 된다. 

 

3. What were the IP addresses of the targets Mr. X discovered?

Statistics - IPv4 Statistics - All Addresses

 

10.42.42.56, 10.42.42.50, 10.42.42.25 총 3개의 주소가 확인이 된다.


4. What was the MAC address of the Apple system he found?

 

apple로 검색해 확인해 보면 선택된 패킷의 도착지 MAC 주소를 알 수 있다.

: 00:16:cb:92:6e:dc


5. What was the IP address of the Windows system he found?

운영체제에 따라서 TTL 시작값이 다르고 일반적으로 아래와 같다.

TTL 값: Linux = 64/Windows = 128/Cisco = 256

ttl=128을 가진 IP를 찾으면 된다.

 

: 10.42.42.50 

 

6. What TCP ports were open on the Windows system? (Please list the decimal numbers from lowest to highest.)

 

1번 문제에서 확인한 ip 주소로 열려 있는 포트를 확인하면 된다.

<ip.dst==10.42.42.253&&tcp.flags.syn==1&&tcp.flags.ack==1> 필터링으로 135번 포트와 139번 포트가  확인이 된다.

:135, 139

'SKS!_2024 하계 방학 STUDY' 카테고리의 다른 글

[SKS!/Forensics] 3주차 | Tuesday 문제 MrRobot Blue Team Lab [~5]  (0) 2024.08.16
[SKS!/Forensics] 2주차 | Friday 문제 1 evidence05  (0) 2024.07.27
[SKS!/Forensics] 2주차 | Wednesday| 문제 1 what did I write?  (0) 2024.07.26
[SKS!/Forensics] 2주차 | Tuesday 문제 1 evidence03  (0) 2024.07.26
[SKS!/Forensics] 2주차 | Monday 문제 1 evidence02  (0) 2024.07.26

'SKS!_2024 하계 방학 STUDY' Related Articles

티스토리툴바