[SKS!/Forensics] 2주차 | Thursday 문제 1 evidence04
Puzzle #4: The Curious Mr. X
1. What was the IP address of Mr. X’s scanner?
첫번째 패킷을 살펴보면 Flasg에 Syn만 1로 되어 있다. 그리고 TCP SYS 또는 TCP Connectscan 임을 알 수 있다.
보낸 IP주소가 Mr.X로 확인이 된다.
2. For the FIRST port scan that Mr. X conducted, what type of port scan was it? (Note: the scan consisted of many thousands of packets.) Pick one: TCP SYN/TCP ACK/UDP/TCP Connect/TCP XMAS/TCP RST
ip.dst==로 필터링 한다.
그리고 TCPStream으로 확인해보면 아래와 같이 확인이 된다.
확인 결과, TCP 세션이 다음과 같이 정상적으로 연결되고 종료되었다.
- 779번 패킷에서 SYN 패킷을 보냄
- 786번 패킷에서 SYN+ACK 패킷을 수신함
- 791번 패킷에서 ACK 패킷을 보냄
이로써 TCP Connect로 확인이 된다.
3. What were the IP addresses of the targets Mr. X discovered?
Statistics - IPv4 Statistics - All Addresses,, 총 3개의 주소가 확인이 된다.
4. What was the MAC address of the Apple system he found?
apple로 검색해 확인해 보면 선택된 패킷의 도착지 MAC 주소를 알 수 있다.
: 00:16:cb:92:6e:dc
5. What was the IP address of the Windows system he found?
운영체제에 따라서 TTL 시작값이 다르고 일반적으로 아래와 같다.
TTL 값: Linux = 64/Windows = 128/Cisco = 256
ttl=128을 가진 IP를 찾으면 된다.
6. What TCP ports were open on the Windows system? (Please list the decimal numbers from lowest to highest.)
1번 문제에서 확인한 ip 주소로 열려 있는 포트를 확인하면 된다.
<ip.dst==> 필터링으로 135번 포트와 139번 포트가 확인이 된다.
:135, 139