1. HTTP란?
- www 상에서 정보를 주고 받을 수 있는 프로토콜
- 주로 HTML 문서를 주고 받을 때 쓰임
- TCP 80번 포트를 사용
- HTTP는 클라이언트와 서버 사이에서 이루어지는 요청/응답 프로토콜
2. DNS란?
- 도메인 네임 시스템의 약자
- 호스트의 도메인 이름을 호스트의 네트워크 주소로 바꿔 수행
- 특정 컴퓨터의 주소를 찾기 위해 사람이 이해하기 쉬운 도메인 이름을 IP주소로 전환
- 예를 들어 www.daum.net->192.168.57.101로 전환시켜주는 역할을 함
3. HTTP, DNS 프로토콜 패킷 분석 실습
그림 1-1 DNS 패킷
그림 1-1은 DNS 패킷 전송 상태다. dns를 입력하고 필터링하면 그림 1-1과 같은 결과가 나타난다. 패킷을 분석해봤을때 www.kali.org 등과 같은 URL을 전송하고 있는 것으로 파악되며 A는 ipv4, AAAA는 ipv6를 요청한다. 그림 1-1에서 주로 받는 요청은 ipv4로 파악된다.
그림 1-2 HTTP 패킷 (1)
그림 1-2는 HTTP 패킷 전송 상태다. http를 입력하고 필터링하면 그림 1-2와 같은 결과가 나타난다. 현재 daum.net에 접속해 요청값을 보낸 상태고 쿠키 값까지 있는 상태임을 확인할 수 있다. 쿠키 값을 탈취하게 되면 여러 해킹 범죄에 사용될 수 있기 때문에 항상 주의해야 한다. 쿠키 값은 서버가 클라이언트에게 주는 고유의 값이다.
그림 1-3 HTTP 패킷 (2)
그림 1-3은 그림 1-2에서 요청값을 보내고 어떤 응답을 주는지 알아보기 위해 다음 패킷값을 봤다. 패킷에는 302 object Moved라는 메시지가 나오는데 HTTP 302는 요청한 리소스가 임의적으로 새로운 URL로 이동했음을 나타낸다. 그림 1-2와 그림 1-3을 종합하면 daum.net은 잘못된 페이지기 때문에 www.daum.net으로 이동해야 한다고 알려주고 있는 상태다.
그림 1-4 HTTP 패킷 (3)
그림 1-4는 그림 1-3에서 잘못된 페이지에서 올바른 페이지로 이동한 결과다. 쿠키 값을 그대로 유지하면서 www.daum.net으로 이동된 상태를 나타내고 있다.
그림 1-5 HTTP 패킷 (4)
그림 1-5는 웹 요청의 메소드 검색으로 POST 파일 업로드 확인이 가능하다. http.request.method==POST를 입력하고 검색하면 447번에서 TCP Stream을 실행한다.
그림 1-6 TCP Stream 실행 결과
TCP Stream 실행 결과 divname으로 여러 파일들이 업로드 되었다는 것을 확인할 수 있다. 총 6개의 파일이 올라간 것으로 추정할 수 있다.
'네트워크 패킷 분석 및 멀웨어 분석' 카테고리의 다른 글
ARP,ICMP 프로토콜 패킷 분석 실습 (0) | 2018.10.22 |
---|---|
FTP 프로토콜 패킷 분석 실습 (0) | 2018.10.22 |
Telnet 프로토콜 패킷 분석 실습 (0) | 2018.10.22 |