이번에는 telnet 패킷을 분석해보려고한다
알아두자
Client : 192.168.75.1
Server : 192.168.75.132
클라주소와 서버주소다
먼저 telnet이 무엇인지부터 설명해보도록하겠다.
telnet이란?
텔넷은 ''원격접속 서비스''로서 특정 사용자가 인터넷을 통해 다른 컴퓨터에 연결하여 그 컴퓨터에서 제공하는 서비스를 텍스트 기반의 명령어로 제어를 하는 것입니다.
일반적으로 텔넷 서비스를 이용하기 위해서는 연결 컴퓨터에서 제공하는, 즉 텔넷 서버에 계정(telnet account)이 있어야 합니다
(텔넷이란 원격지 컴퓨터를 액세스하기 위한 사용자 명령어들과 TCP/IP 기반의 프로토콜을 말한다).
즉, 예전에 PC 통신이 인기 있을 때 모뎀으로 많이 접속하시던 하이텔, 천리안, 유니텔, 나우누리 등에 접속하시는 것도 일종의 telnet 접속에 해당하는 것으로, 여러분의 컴퓨터에는 각종 PC통신에서 사용하시는 대화
방이나 게시판 검색 등의 기능이 없지만 원격지의 컴퓨터에 접속하여 그러한 서비스를 제공 받음으로써 마치 자신의 컴퓨터가 제공하는 것처럼 사용하게 해주는 그런 방법입니다.
이번에는 pcap 파일을 첨부하도록하겠습니다.
일단 pcap파일을 열면
이런 화면으로 나온다.
여기서 1~3번 패킷은
3way hand shake 라는걸 알수가있다.
그게먼지모른다면 옆에 링크를 클릭해서 보고오는게 좋다 -> Click me
참고로 텔넷포트는 기본적으로 23번포트를 사용한다
여기서 클라이언트는 3714 포트를 사용하는걸 알수가있다.
8번부터 본격적으로 텔넷으로 통신하는과정이다 8번패킷을보면
서버가 클라이언트에게 무엇인가 보냈다
한번열어보자
텔넷 세션을보면 저런식으로 Do , Will 라는것들이 볼수있는데
이것은 서버가 클라이언트에게 사용가능한 옵션을 알려주는것이다라고배운거같다.
자주사용되는 명령을 정리해보겠다
WILL
텔넷 옵션 협상에서 이코드를 송신하는 장비가 특정 옵션을 앞으로 수행하거나 계속해서 수행할 것이라는 것을 나타냄
WONT
WILLL과 반대
DO
텔넷 옵션 협상에서 상대방 장비에게 특정 옵션을 수행하거나 앞으로 수행할 것이라는 것을확인해달라고 요청함
DONT
DO와반대
이런식으로 서로 어느옵션을 사용할것인지 옵션설정하는것을 8~18패킷에서 나타난다.
서로 옵션(?) 설정이 끝나면 19번 패킷부터 데이터전송이 시작된다
쉘의 일부를 클라이언트에게 보내주는것이보인다.
19번패킷을 잘받앗다면 이제 클라이언트가 서버에게 응답해줄차례니
20번패킷처럼 잘받았다는 패킷을 보내준다.
21번패킷부터중요햐다
클라이언트가 한글자 한글자 칠떄마다 패킷이 보내지는게보인다.
서버로패킷이 잘전송이되면 서버에서 역시 똑같은 패킷을 클라이언트에게 보내준다
두사진의 아래주소를보면 자세히알수있다.
그리고 텔넷은 데이터를받을때는 23번포트로 받지만 데이터를 전송할때는 22번 포트를 사용해서 데이터를 전송한다.
이런식으로 서버와 클라이언트간의 데이터가 전달된다
이제 패킷을 재조립해보면
이런식이다.
조립된패킷을보고 알수있는건
원격연결을한 서버의 OS는 윈도우를 사용하는것을알수있고
게정 아이디는 : administrator
비밀번호는 : napier
를 사용하는걸 알수가있다
데이터가 두개로 보이는이유는 위에서 말했다싶이
클라이언트에서 데이터 하나를 입력하자마자 서버에게 전송되고 패킷을 잘받았다는 의미로 서버는 똑같은데이터를 클라이언트에게 보내주기떄문에 2개로 겹쳐서 나온다
여기서 또알수있는것은 dir 명령어와 exit 명령어를 사용했다는것이다.
텔넷에서 exit를 사용하면 접속을 끊겟다는것인데 그럼 TCP 접속종료 세션이있는지 한번확인해보면
맨 아래 FIN 패킷이있다 .
FIN 패킷이 먼지모르는사람은 옆에 링크를 클릭해라 -> (TCP가 서로 연결을 어떤식으로 종료하는지 자세하게 분석하려고한다. 완성되면 링크걸어두겠따.)
이로서 telnet 패킷 분석에대한 포스팅을적어뒀다.
포스팅하는내내 어떻게 설명해야할지 막막했다.
그러므로 실수가있을수도있으니 실수나 잘못된부분이있으면 댓글좀 부탁드립니다
마지막으로 telnet.pcap 파일은 첨부파일에 넣어뒀습니다.
