DoS 발생시 정상 통신과 이상통신 구분

Report
DoS 발생시 정상 통신과 이상통신 구분
(2012 Code Gate Network 200)
• 2012. 9. 14
목차
I.
준비
II. 문제내용
III. 문제해결 접근 방법
IV. 주요 명령어 및 토론
별첨. NetWitness Investigator 9.6 외
1.
준비

Wireshark

Packet capture file : A565CF2670A7D77603136B69BF93EA45

명령어 (sort, uniq 등등)
※ wireshark 실행 화면
※ 홈페이지 : http://www.wireshark.org
※ tshark 실행 화면
1.
Code Gate2012 DoS attack 문제내용
 클라이언트 PC에서 PCAP파일을 만든 파일로, 공격과 정상패킷을 구분하는 문제
 공격 대상지 TOP4를 찾아 해당 국가명을 이용하여 Answer 문장 완성
1.
어떻게 접근할 것인가?

2.
Dos 공격의 특징은?
어떻게 찾을 것인가?



wireshakr?
Tshark?
의심IP
111.221.70.11
…… 그외 IP 들

Hit


Client PC !!
Count ? Or System resource ?
Hit

Statistics > IP Destinations
(참고. http://stih.tistory.com/18)

tshark -r A565CF2670A7D77603136B69BF93EA45 -Tfields -e ip
| sort | uniq -c | sort /r > sort-dst_ip.txt
(참고. http://blog.naver.com/eyunchang)
3.
정상 ? 공격?


Hit

IP Spoofing
Answer
 IP Spoofing 을 이용한 SYN flooding


Client PC에서 캡쳐한 결과

111.221.70.11(Singapore Singapore Microsoft) 확정
hit
 Filter Ip.dst!=111.221.70.11 이후 File > Export Spe.. > Racket Range displayed selected
 tshark -r A565CF2670A7D77603136B69BF93EA45 -w n_111.221.70.11.pcap ip.dst!=111.221.7
※ display filter 사용시
ip.addr !=111.221.70.11 ? !ip.addr ==111.221.70.11 주의

Tip Display Filter 실수 피하기


Display Filter 구문 : ip.addr !=1.1.1.1
Sender IP Address
Destination IP Address
Packet 의 표시여부
1.1.1.1
255.255.255.255
Packet이 표시됨
10.9.9.9
1.1.1.1
Packet이 표시됨
1.1.1.1
10.9.9.9
Packet이 표시됨
정확한 Filter 구문 !ip.addr==1.1.1.1 이어야만, 출발지와 목적지에 1.1.1.1를 뺀 나머지 부분이 표기
3.
그외 다른 목적지IP는 정상? 공격?(계속)

IP 1.2.3.4 는?

tshark -r A565CF2670A7D77603136B69BF93EA45 -Tfields -e ip.src ip.dst==1.2.3.4 | sort |
uniq -c | sort /r > sort-src_all-dst_1_2_3_4.txt

IP 8.8.8.8 은 DNS ?

IP 109.123.118.42 는?


Hit


Client PC 80port 사용?
동일 패턴 반복 GET / HTTP/1.1
Answer

GET flooding

109.123.118.42 (United Kingdom London) 확정
3.
그외 다른 목적지IP는 정상? 공격?(동일 방식으로 계속)

IP 174.35.40.44 (United States San Jose Cdnetworks Inc) 는 ?
※ [ TCP Dup ACK ????????#1]
재전송 내용임.

Tip 패킷에서 바이너리 파일 추출
 Filter Ip.addr =174.35.40.44 이후 File > Export Spe.. > Racket Range displayed selected
 File > Export Object


tshark -r A565CF2670A7D77603136B69BF93EA45 –w 174.35.40.44.pcap ip.addr==174.35.
(참고. http://blog.naver.com/eyunchang)
NetWitness Investigator 실행
3.
그외 다른 목적지IP는 정상? 공격?(계속)
….. 무한의 노력과 지루한 싸움……

tshark -r A565CF2670A7D77603136B69BF93EA45 -Tfields -e ip.dst -e http.user_agent -R
"http.user_agent" |sort |uniq -c | sort /r

무엇이 이상한가?
3.
그외 다른 목적지IP는 정상? 공격?(계속)

RUDY? http post 공격으로 요청헤더를 매우 크게 잡고 실제 데이터는 작게 보내는 공격
(참고. http://www.hackthepacket.com/entry/DoS-RUDY)

tshark -r A565CF2670A7D77603136B69BF93EA45 -Tfields -e ip.dst -R
"http.request.method == POST or tcp.data contains 50:4f:53:54 or data.len == 1 " |sort
|uniq -c | sort /r

Wireshark에서는 ?
참고. TCP segment of reassembled PUD ,
http://blog.naver.com/PostView.nhn?blogId=siren258&logNo=139046854
MTU ?

D:\edu>netsh interface ipv4 show interface
Answer


R-U-D-Y
199.7.48.190(United States) 확정
3.
그외 다른 목적지IP는 정상? 공격?(동일 방식으로 계속)
IP 66.150.14.48 (United States Bellevue Pinball Corp.) 는 ?



Hit


Tcp port number reused
SRC 80 ?
Answer
 66.150.14.48 (United States Bellevue Pinball Corp.) 확정
주요 명령어 및 토론
 관제자의 입장에서 DoS 공격탐지는 ?

지금까지 사용한 주요 명령어가 탐지에 도움이 되는가?

관제자에게 무엇이 중요한가?(무엇을 확인해야 하는가?)
 지금까지 사용한 주요 명령어들

tshark -r A565CF2670A7D77603136B69BF93EA45 -Tfields -e ip.dst | sort | uniq -c | sort /r > sortdst_ip.txt

tshark -r n_111.221.70.11.pcap -R http.request -Tfields -e ip.dst -e http.request.uri | sort | uniq -c |
sort /r | head

tshark -r A565CF2670A7D77603136B69BF93EA45 -Tfields -e ip.src -e ip.dst
http.cache_control=="no-cache" | sort | uniq -c | sort /r | head

tshark -r A565CF2670A7D77603136B69BF93EA45 -Tfields -e ip.dst -e http.user_agent -R
"http.user_agent" |sort |uniq -c | sort /r

tshark -r A565CF2670A7D77603136B69BF93EA45 -Tfields -e ip.dst -R "http.request.method ==
POST or tcp.data contains 50:4f:53:54 or data.len == 1 " |sort |uniq -c | sort /r
별첨. NetWitness Investigator 9.6
별첨. Colasoft Packet Builder
감사합니다.

similar documents