첫째, 우리는 SYN 공격 이 무엇인지 이해해야한다 . 우리 공격자의 IP 주소의리스트를 보내기때문에 (임의의 순서로, 공백으로 구분) 그래서 우리는 그들을 추적하고 그들을 막을 수 있습니다
한 번에 플래그 SYN = 1 많은 패킷을 전송 하기 때문에 서버는 현재 과부하 상태이다.
pacp 파일을 열어서
Open pcap with Wireshark > Statics > Conversations 탭을 열게 되면 다음과 같이 보이게 된다.
Server (victim): 128.237.255.81 인것을 확인 할 수 있고
필터링을 통해 아래와 같이 확인 합니다.
Use filter to filt all packets from attack:
tcp && ip.dst == 128.237.255.81 && tcp.flags.syn == 1 && tcp.flags.ack == 0
우리는 소스 ip 정보를 통해 공격자를 알 수 있다.
We can lists source IP and it's all IP of attacker.
121.168.84.32
75.214.206.60
21.241.212.197
55.53.190.191
71.113.17.64
120.130.138.152
171.128.49.99
104.220.68.36
241.210.41.46
33.24.97.48
115.99.66.210
154.29.81.178
69.232.82.51
234.183.31.38
102.146.88.253
196.132.138.81
63.193.172.89
16.6.74.206
94.148.118.202
160.116.210.243
248.237.9.18
161.147.211.153
207.137.67.221
229.61.253.52
180.70.211.154
132.214.137.24
132.42.241.177
65.248.11.247
49.201.237.5
51.145.58.158
'computer forensics' 카테고리의 다른 글
Nullcon ctf MISC 300 (0) | 2017.05.03 |
---|---|
Acquiring Linux Memory from a Server Far Far Away (0) | 2017.02.22 |
네트워크 포렌식 (backdoor) (0) | 2015.12.29 |
네트워크 포렌식 문제 (0) | 2015.12.19 |
The Pmem Memory acquisition suite. (0) | 2015.04.26 |