[패킷 분석] 무선랜 패킷 분석

이번 시간에는 무선랜으로 패킷이 잡혀있는 패킷 파일을 분석을 진행 해보도록 하겠습니다.

패킷 파일을 실행시켜 보면 암호화 된 패킷들이 보이는데 지금처럼 무선랜 환경에서의 패킷은 암호화가 된 상태로 잡히게 됩니다.

패킷들을 살펴보면 wep 프로토콜로 암호화가 된 것을 볼 수 있는데, 암호화가 된 패킷들은 크랙을 통하여 복호화를 시켜줘야 합니다.

복호화를 하기 위해서는 Aircrack-ng 프로그램이 필요한데, 복호화를 하는 순서를 보겠습니다.

일단, wep를 복호화 하기 위해서는 키가 필요합니다. WEP 암호화 키는 64bit일 경우 01:02:03:04:05 와 같이 입력을 해야 하고, 128bit일 경우에는 0102030405060607080 이런식으로 키 값이 나오는 것을 볼 수 있습니다.

 

먼저, Filename란에 Choose를 클릭하여 키를 뽑아 낼 패킷 파일을 집어 넣습니다.

집어 넣고, Encryption을 WEP으로 지정한 다음 64bit를 선택하고 하단아 Launch를 클릭하게 되면 키 값을 볼 수 있습니다.

키 값은 4A:7D:B5:08:CD 인 것으로 나오고 이 값을 가지고 복호화를 해봅시다.

키 값을 입력을 하고 Launch를 누르면 복호화가 됩니다.

패킷이 187650개가 있다고 알려주네요. 복호화를 다 하셨으면 해당 파일의 경로에 dec 파일이 생깁니다.

dec 파일을 실행시키면 정상적으로 패킷이 돌아온 것을 확인할 수 있었습니다.

패킷들을 분석을 좀 해보니까 Apple Mail, Apple Itunes 등등 패킷들이 잡혀있는 것으로 보아 맥북인 것으로 추정된다.

추정이라고 단어를 쓴 이유는 직접 패킷을 뜬 것이 아니기 때문에 확신을 할 수 없기 때문이다. 참고로 TCP12번 패킷을 보면 WIFI가 있으므로 맥북 아니면...아이패드...아이폰 중 하나로 보인다!!

 

지금까지 무선랜 패킷을 분석하는 방법을 봤는데, 무선랜 패킷에서 가장 중요한 것은 WEP로 암호화가 되었으면 패킷의 키를 구해야 하는 것이 가장 중요하기 때문에 크랙 도구가 없다면 수동으로 구해야 하는데, 구하는 방법은 링크를 통해서 보면 될 것이다.

 

 

- 참고자료 -

https://takudaddy.tistory.com/284