繼續下一題吧!今天要介紹的題組中,主角終於不是Ann了,而是另一位Mr. X,今天就來介紹如何用Wireshark來解出第四個題組「Puzzle #4: The Curious Mr. X」(網址:http://forensicscontest.com/2010/02/03/puzzle-4-the-curious-mr-x ),一樣的,請先至該題網址中觀看詳細故事前提,並且把pcap檔下載下來。
今天會用到比較多TCP三向交握的觀念,如果不熟悉的可以先翻開課本或問Google大神複習一下,對於解今天的題目會比較有幫助喔~
第一題:What was the IP address of Mr. X’s scanner?
這一題可以使用到跟昨天介紹過的統計工具,也就是用找端點的方式來找到答案,所以就點選功能列的Statistics>Endpoint,而因為Mr.X的IP就是會跟其他設備都有接觸的IP,所以可以推斷封包數量最多的就是答案要的IP,所以直接找Packets數量最多的,也就是10.42.42.253這個IP。
第二題:For the FIRST port scan that Mr. X conducted, what type of port scan was it? (Note: the scan consisted of many thousands of packets.) Pick one:
觀察封包,發現Mr.X一直送出[SYN]的封包,目標設備也持續回傳[RST, ACK]或[SYN/ACK]的封包,而根據封包的flag,可以看出他們是TCP封包,所以這一題答案就是TCP Connect。
第三題:What were the IP addresses of the targets Mr. X discovered?
由第一題的答案我們知道Mr.X的IP是10.42.42.253,因此只要跟這個IP有互動的IP都是這題的答案,這時我們可以用Wireshark的另一個工具,也就是功能列的Statistics>Conversations來解這題,直接也曾經介紹過這個功能,它會把有交談過的設備資訊列出來,所以我們選擇IPv4的頁籤,並且把Address B進行排序,就可以很清楚的看到跟10.42.42.253有過交談的IP有哪些,也就可以得到這題的解答 10.42.42.25、10.42.42.50及10.42.42.56。
第四題:What was the MAC address of the Apple system he found?
這一題昨天也有類似的題目,一樣使用Statistic>Endpoints,在Ethernet頁籤勾選畫面下方Name Resolution,找到Apple_92的機器是哪一台,再把Name Resolution取消勾選,就可以找到他對應的MAC Address就是00:16:cb:92:6e:dc。
第五題:What was the IP address of the Windows system he found?
這一題可以用設備的ttl(time to live) 來找出答案,由於LINUX的ttl是64、Windows 95/98/98SE/ME的ttl是 32、Windows XP/Vista/7的ttl是128,雖然還不大確定確切的Windows版本,不過因為題目發布的時間是2010年,那時候應該大部分用Windows的不是Windows Vista就是Windows 7,所以就先試試過濾出ttl是128的封包有哪些吧,這時我們可以下「ip.ttl == 128」這個過濾指令,從過濾出來的結果就可以發現,這題的答案就是10.42.42.50。
第6題:What TCP ports were open on the Windows system? (Please list the decimal numbers from lowest to highest.)
這一題已經指定是要看Windows system,所以就必須先拿上一題的答案,也就是10.42.42.50,來觀察這個IP有開哪些port。
由於Mr.X對這個IP的機器做Port scan,而如果該Port是打開的,機器就會回覆[SYN/ACK]的封包,反之,若Port沒開,則會回覆[RST/ACK]的封包,所以在這邊我們就找出有哪些Port是有回傳[SYN/ACK]封包的就可以找到答案了。
我們可以利用下「tcp.flags.syn ==1 && tcp.flags.ack == 1 && ip.ttl ==128」或是「tcp.flags.syn ==1 && tcp.flags.ack == 1 && ip.src==10.42.42.50」的過濾指令,就可以得到解答,也就是135跟139 兩個Port是開著的。
其實每個題目都有很多種解法,如果可以嘗試用其他方式來解出題目也是很好的喔!