Dreamhack_Don't Do(S) that!(forensic) - 패킷 분석

1. TCP (Transmission Control Protocol)

- 연결 지향성:  데이터를 보내기 전, 상대방과  3-Way Handshake 과정을 거침

- 신뢰성: 패킷이 중간에 유실되면 다시 보내주고, 순서가 뒤바뀌면 제대로 맞춰줌

- 흐름/혼잡 제어: 받는 쪽의 속도를 살피고 보냄

- 용도: 파일 전송(FTP), 웹 서핑(HTTP), 이메일(SMTP) 등 데이터가 하나라도 틀리면 안 되는 곳에 쓰임

 

2. UDP (User Datagram Protocol)

- 비연결성: 연결 확인 없음

- 비신뢰성: 패킷의 확인 작업이 없음 -->  속도가 매우 빠름

- 용도: 실시간 스트리밍, 온라인 게임, 영상 통화 등 속도가 중요하고 끊겨도 상관 없는 곳에 쓰임

 

3. ARP (Address Resolution Protocol)

- 주소 변환: 우리는 192.168.0.1 같은 IP 주소를 쓰지만, 실제 랜카드끼리 통신할 때는 MAC 주소가 필요함. 즉,  IP를 MAC으로 바꿔주는 역할

- 브로드캐스트: "누구니?"라고 물어볼 때는 네트워크의 모든 PC에게 물어봄

- 취약점: ARP Spoofing 공격

 

 

---

 

 

갑자기 제목을 보다가 Don't Do(S) that!

DoS공격이 생각남........문제 풀 때 좀 생각했으면 좋았을텐 ㄷ ㅔ.....ㅎ

 

이 문제에서 사용된 공격을 좀 정리해봄

1. ICMP Flood (Ping 공격)

• 공격자(.22)가 드림이(.11)에게 짧은 시간 동안 엄청난 양의 ICMP Echo Request(Ping) 패킷을 보낸다.
• 결과: 드림이의 컴퓨터는 이 모든 핑에 응답(Echo Reply)하기 위해 CPU와 네트워크 자원을 소모하게 됩니다. 이때 드림이가 느끼는 현상이 바로 갑작스러운 렉이라고 할 수 있다.

2. ARP Spoofing을 동반한 DoS

• 공격자가 드림이에게 "내가 게이트웨이야"라고 속인 뒤(ARP Spoofing), 드림이가 외부(구글 등)로 보내는 패킷을 중간에서 가로챈다. 
• 가로챈 패킷을 목적지로 전달해주지 않고 그냥 버려버리면(Drop), 드림이 입장에서는 인터넷 연결이 끊기거나 극도로 느려지는 DoS 상태가 된다.(중요!!)

 

DoS의 핵심은 정상적인 사용자가 서비스를 이용하지 못하게 방해하는 것