6 공격을 했는가 125.246.95.253 으로 공격
ping > 10:25 시작 : 확인방법 > wireshark 혹은 방화벽에서 확인
scan
hping3
웹 서버에 syn 패킷을 보내는 공격
hping3 125.246.95.253 -p 80 -S --rand-source --flood > 흔적은 어디서 찾을 것인가
syn
syn
syn
syn
라우터와 방화벽 사이를 보면 공격의 시점을 확인 할 수 있음
web1 공격 시점 찾아보기
hping3 web1.st.kr -p 80 -S --rand-source --flood
ping web1.st.kr
7 공격을 했다면 무슨 흔적들이 남는가
방화벽 서버 등에 흔적을 찾는다
서버에 흔적 존재
80
21
22 [방화벽 접근 포트]
22001 [포트 + 번호]
22002
22003
22004
8 웹서버에 파일이 업로드 했는가
9 관리자가 파일을 다운로드 받았는가
시나리오2
컴퓨터는 언제 부팅 되었는가
사용자는 누구인가
관리자는 몇번 시스템에 로그인 했는가
vdi 형식 이미지는 에러발생
해커가 정보 수집을 하는 시간은 언제인가
무슨 정보를 수집하려고 했는가
공격을 했는가
공격을 했다면 무슨 흔적들이 남는가
웹서버에 파일이 업로드 되었는가 > 업로드 완료
관리자가 파일을 다운로드 받았는가 > 다운 실패
받고 실행은 했는가 > 다운 실패로 실행 불가
분석
관리자 pc : 20250210001.001
원본 : a66d64b012b78ecd4b2ab8f673f4ed30
사본 : a66d64b012b78ecd4b2ab8f673f4ed30
서버 : 20250210002.001
원본 : 120f02913726acf06dcf7858f6df7bce
사본 : 120f02913726acf06dcf7858f6df7bce
방화벽 : 20250210003.001
원본 : c882cd3f925ef72a5a1a393f8846e11e
사본 : c882cd3f925ef72a5a1a393f8846e11e
> 사본 이미지 생성 후 해시값 비교, 동일할 경우 동일성이 입증된 것 > 모두 입증가능
각 사본의 해시값은 무엇인가?
> 원본 해시값
> 사본 해시값
본인이 중요하다고 판단되는 파일들을 찾아서 export 하기
장비로 분석실습 적용
http://team2.st.kr:8002
ssh http ftp
22002 8002 21002
원격 : 125.246.95.253
10.10.10.2
Email DNS > 10.10.10.253
ssh st.kr (master, 123456)
systemctl disable namd
systemctl disable dovecot
revoot
로그인 하면 메일로 알림 설정오게 만들기
각 조별로 본인의 홈페이제 백업이 잘 되는지 확인하고
백업 서버에 전송되는지 확인
스냅샷 걸고 삭제할 예정