1. 개요

강사님 정보

김태일 (주)코어시큐리티

패킷 분석 목적 별 분류

네트워크 디버깅 목적(사용도구 : wireshark, tshark)
악성코드 분석, 취약점 분석을 위한 리버싱 목적 (사용도구 : wireshark, tshark)
위협 탐지 목적
- 흐름 : 패킷수집 → 패킷로그 생성 → 인덱싱/DB 저장 → 다양한 통계적 분석, 시그니처 분석, IoC, IoA 분석 등 수행 (쿼리 등 활용)
- 패킷수집 방식 또는 플랫폼 필요

분석하고 해석하는 사람들은 정확한 개념을 가지고 있어야 한다.
Well known 포트(0-1024) : privileged port이며, 해당 포트를 사용하기 위해서는 관리자 및 루트 권한이 필요
- IANA에서 잘 알려진 서비스들에 할당한 공식적인 서비스 포트번호
- /etc/services (linux) , system32\drivers\etc\services
임시 포트 (ephemeral port)
- 클라이언트들이 네트워크 통신을 위해 임시로 사용하는 포트
- 원칙적으로는 1024~65535 포트 전체가 임시포트로 사용 가능
- IANA는 49152~65535 까지 범위를 임시 포트로 사용하도록 권장하고 있음
- 현재 대부분의 통신이 서버/클라이언트 방식임을 고려했을 때 일반적인 통신의 모습은 x.x.x.x:임시포트 ↔ y.y.y.y:웰노운
- web3가 일반화되면 위 방식의 대한 개념은 바뀔 것이다.