4. 패켓 분석-4.pcap
- 사용 도구 : Wireshark, Aircrack-ng-1.1-win
무선랜 통신 암호화 WEP WPA
1) '패켓 분석-4.pcap' 파일을 Wireshark로 오픈한다.
- IEEE 802.11 무선 프로토콜 정보를 확인한다.
파일을 열어보니 암호화가 되어있어 내용을 볼 수 없다.
802.11 을 사용하는것으로 보아 WEP 이런거 쓸 것으로 예상된다.
Aircrack-ng-1.1-win 으로 패킷분석-4.pcap 파일을 올리자.
2) '패켓 분석-4.pcap' 파일을 Aircrack-ng GUI로 오픈한다.
- Aircrack-ng -> Encryption : WEP -> Key size : 64 -> 'Launch' 버튼 클릭
- CMD 창이 실행되면서 키(4A:7D:B5:08:CD)가 출력된다.
다음과 같이 CMD창이 뜨면서 키값을 구했다
KEY FOUND! [ 4A:7D:B5:08:CD ]
3) 키를 이용하여 복호화를 실시한다.
- Airdecap-ng -> Choose : '패켓 분석-4.pcap' -> Encryption : WEP -> Key (hex) : 4A:7D:B5:08:CD -> 'Launch' 버튼 클릭
주어진 키 값을 이용해 파일을 복호화 하기 위해 Airdecap -ng 목록으로 들어가 4번 파일을 올린 후, 아까 구한 키값을 넣고 launch버튼
다음과 같이 복호화된것을 확인할 수 있다.
CMD창에 출력된 내용을 간략하게 설명하자면, WEP방식으로 197650 개의 패킷이 암호화 되어있었는데 그것을 복호화했다는 의미한다.
4) 실습 폴더를 확인하면 '패켓 분석-4-dec.pcap' 파일이 생성되어 있다. 파일을 실행하여 복호화된 패켓들을 확인한다.
실습폴더를 열어 확인하니, 복호화된 파일이 생성된것을 확인할 수 있다.
다음과 같이 복호화되어 복호화 전에 보이지 않았던 내용들을 확인할 수 있다.
'정보보안 > 포렌식' 카테고리의 다른 글
| DEFCON ROUND 4 (0) | 2022.09.24 |
|---|---|
| DEFCON ROUND3 (0) | 2022.09.24 |
| Forensic _ 패킷분석 - 5 (0) | 2022.09.18 |
| DEFCON 2013 Network Forensics 1. ROUND2 (0) | 2022.09.18 |
| DEFCON 2013 Network Forensics 1. ROUND1 (0) | 2022.09.18 |
