웹 트래픽 증거 추출

소개

이 챌린지에서 여러분은 NetDefenders 의 사이버 보안 교육생이 되어 잠재적인 데이터 유출 사건을 조사하게 됩니다. 강사가 제공한 네트워크 트래픽 캡처 파일을 분석하여, 포렌식 교육 보고서에 제출할 직원과 labex.io 간의 통신 증거를 추출하는 것이 여러분의 임무입니다.

Wireshark 를 사용하여 "labex"가 포함된 TCP 패킷을 필터링하고, TCP 스트림을 추적하여 전체 대화 내용을 확인한 뒤, 해당 증거를 텍스트 파일로 저장하는 과정을 수행하게 됩니다. 이 실습은 보안 전문가가 의심스러운 웹 통신을 식별하고 문서화하는 데 사용하는 필수적인 네트워크 포렌식 기술을 다룹니다.

이것은 챌린지 과제입니다. 가이드가 제공되는 일반 실습과 달리, 학습 단계를 그대로 따르는 것이 아니라 스스로 과제를 해결해야 합니다. 챌린지는 다소 어려울 수 있습니다. 해결이 어렵다면 Labby 와 상의하거나 솔루션을 확인해 보세요. 통계에 따르면 이 과제는 초급 수준이며, 100%의 통과율과 98%의 긍정적인 평가를 기록하고 있습니다.

웹 트래픽 증거 추출

NetDefenders 의 사이버 보안 교육생으로서 여러분은 잠재적인 데이터 유출을 조사하고 있습니다. 강사는 직원이 labex.io 에 접속할 때의 네트워크 트래픽을 캡처했으며, 여러분에게 포렌식 교육 보고서용 증거로 통신 세부 정보를 추출하라는 과제를 부여했습니다.

과제

캡처된 Wireshark 트래픽을 필터링하여 labex 가 포함된 TCP 패킷만 표시합니다.
필터링된 패킷에서 TCP 스트림을 추적하고 이를 프로젝트 폴더에 tcp_evidence.txt로 저장합니다.

요구 사항

/home/labex/project 디렉토리에 있는 캡처 파일 network_evidence.pcapng를 Wireshark 에서 엽니다.
디스플레이 필터를 사용하여 내용에 "labex"가 포함된 TCP 패킷만 표시합니다.
필터링된 패킷 중 하나를 선택한 다음, Wireshark 의 "Follow TCP Stream" 기능을 사용하여 전체 대화 내용을 확인합니다.
TCP 스트림 내용을 /home/labex/project 디렉토리에 tcp_evidence.txt라는 이름의 파일로 저장합니다.
저장된 파일에는 시스템과 labex.io 간의 완전한 TCP 스트림 데이터가 포함되어야 합니다.

예시

올바른 필터를 적용하면 Wireshark 화면이 다음과 같이 나타납니다.

TCP 스트림을 추적하면 대화 데이터를 보여주는 창이 나타납니다. 저장된 파일에는 TLS 핸드셰이크 정보와 암호화된 HTTPS 트래픽을 포함한 이 데이터가 담기게 됩니다.

힌트

특정 텍스트가 포함된 TCP 패킷을 필터링하려면 tcp contains "text" 형식을 사용하세요.
패킷을 마우스 오른쪽 버튼으로 클릭하고 "Follow" > "TCP Stream"을 선택하면 전체 대화 내용을 볼 수 있습니다.
"Follow TCP Stream" 창에서 "Save As" 버튼을 클릭하여 스트림 데이터를 저장합니다.
지정된 디렉토리에 정확히 요구된 파일 이름으로 저장해야 합니다.
저장 대화 상자의 기본 위치가 다를 수 있으므로, 저장하기 전에 /home/labex/project로 이동했는지 확인하세요.

✨ 솔루션 확인 및 연습

요약

이 챌린지에서 저는 Wireshark 를 사용하여 캡처된 패킷 파일로부터 웹 트래픽 증거를 추출하는 네트워크 포렌식 작업을 수행했습니다. 조사의 핵심은 시스템과 labex.io 간의 통신을 조사하여 잠재적인 데이터 유출을 문서화하는 것이었으며, 이를 위해 내용에 "labex"가 포함된 관련 TCP 패킷을 격리하는 특정 디스플레이 필터를 적용했습니다.

이 과정에는 네트워크 캡처 파일 열기, 트래픽 필터링, 전체 통신 내용을 보기 위한 TCP 스트림 추적, 그리고 증거를 텍스트 파일로 저장하는 작업이 포함되었습니다. 이러한 기술은 네트워크 포렌식 조사를 수행하고 보안 사고 보고서를 위한 증거를 준비하는 사이버 보안 전문가에게 필수적인 기술입니다.