note1

1. Sparta기본적인, 가벼운 취약점 도구 분석 가능포트 스캔 등 사용 가능, 직관적인 편그러나 대신 2020 kali 부터는 sparta가 없다.내 kali는 2024버전이라 Legion 프로그램을 사용했다.터미널에서 sudo apt install legion -y 명령어를 입력해 다운로드어디서 딕셔너리 파일을 가져오는지,

1. Merge 기능패킷을 합함여러 서버를 대상으로 공격이 들어오고, low 패킷을 쌓게 됨그럼 웹 서버 쪽에서 공격자가 멈추면 패킷을 merge를 시켜 분석해야 함큰 패킷을 분할하는 경우도 있음Merge packets chrologically (패킷을 시간 순으로 정렬 - 기본 선택)Prepend packets to existing file (현재 선택된 패킷이 맨 앞으로 정렬)Append packets to existing file (현재 선택된 패킷이 뒤 쪽으로 들어감)mergecap.exe를 사용하면 바로바로 사용 가능cmd로 들어가 'mergecap.exe -w 001.pca2. Nlkto내부적으로 다양한 플러그인을 진행하고 있고, 이걸 알아서 선택하고 디폴트로 돌리면 스캔함버전 정보, 일부 불..

1. 컬러링http 같은 경우 연두색이 나옴구분을 하기 위한 목적컬러링을 직접 설정할 수 있음2. 마크 기능나중에 다시 볼 때 마크대량 패킷 분석할 때 유용마크한 것만을 찾을 땐 Ctrl+shift+M Print를 가서 Macked packets only만 할 수 있음침해사고 때 보기packet detail 쪽에서 string을 검색할 수 있음이때 안 오면 bite정보 가져오고, Hex value 뒤, 확인Case sensitive를 하면 대문자 확인좀 더 정교할 땐 regular expression을 사용하기3. 와이어샤크 상태 요약 기능static 기능 중 웹이면 HTTP를 사용, IPv4 static 자주 사용packet counter, request 많이 사용404 Not found 없는 파일로 ..

1. 패킷필터미리 필터를 적용해서 원하는 것만 패킷으로 필터링을 거는 것디스플레이 필터에 비해 간단함2. 화면 필터화면에 나타난 후 필터링을 하는 것대부분 화면 필터를 사용함ex. ip.addr==192.168.0.13ip.dst_host == 192.168 (destination)ip.dst_host == 192.168.0.13 and http (protocol이 http인 것을 포함)frame.len 논리연산자 and, or, xor, not 지원! tcp.port == 80 (tcp 포트가 80이 아닌 것만 지원)udp.srcport == 430963. 패킷 캡쳐캡처는 보통 이더넷 (로컬 영역과 유사)adress 정보가 나오면 ip를 확인할 수 있음콘솔형태 pcap 파일로 저장create a new..

1. 와이어샤크의 설명컴퓨터의 세계는 3개의 계층으로 이루어짐 (user mode, kernel mode, hardware mode)Filter (Sensor) 수집 역할데이터의 단위는 Frame, 그 안에 Packet이 있음Sensor가 수집한 L2의 프레임을 보내면, 화면에 알아보기 좋게 함수집 및 분석, 검색필터에는 수집 필터와 검색 필터가 있음침해대응 분석 - 모니터링 (로그 분석)IPS/IDS 패킷 샘플모의 해킹 - PC -> 서버 암호화 과정애플리케이션 패킷 분석포렌식 분석wincap - 패킷 드라이브 (모니터링 모드를 가장 많이 사용함)2. 와이어샤크 캡처이더넷 (유선), WIFI (무선)홈 화면에서 바로 캡처를 클릭하면, 기본적으로 설정된 어뎁터를 기준으로 시작그러나 옵션을 먼저 선택하고 ..