Ann’s AppleTV의 주어진 정보와 문제는 아래와 같습니다.
---------------------------------------------------------------------------------------------------
[주어진 정보]
AppleTV static IP : 192.168.1.10
[문제]
1. What is the MAC address of Ann’s AppleTV?
2. What User-Agent string did Ann’s AppleTV use in HTTP requests?
3. What were Ann’s first four search terms on the AppleTV (all incremental searches count)?
4. What was the title of the first movie Ann clicked on?
5. What was the full URL to the movie trailer (defined by “preview-url”)?
6. What was the title of the second movie Ann clicked on?
7. What was the price to buy it (defined by “price-display”)?
8. What was the last full term Ann searched for?
---------------------------------------------------------------------------------------------------
문제1. What is the MAC address of Ann’s AppleTV?
1번은 Wireshark만 실행 해서 단순 필터링 만으로 금방 답을 찾을 수 있습니다.
아래 사진과 같이 ip필터링을 걸은 후 아래 패킷의 상세 정보를 확인해 보면...
AppleTV의 MAC address는 00:25:00:fe:07:c4 를 확인 할 수 있다.
1번) 00:25:00:fe:07:c4
문제2. What User-Agent string did Ann’s AppleTV use in HTTP requests?
두번째 문제는 AppleTV의 User-Agent를 묻는 문제입니다.
이것도 간단한 필터링 만으로 답을 찾을 수 있는데요
아래와 같은 필터링으로 AppleTV가 HTTP를 요청한 것을 알 수 있습니다.
필터링 : ip.addr == [AppleTV’s IP] && http
출발지가 AppleTV(192.168.1.10)인 패킷 중, 아무거나 클릭 후 그 안에 있는 User-Agent를 확인하여 보면 “AppleTV/2.4”를 확인 할 수 있습니다.
2번) AppleTV/2.4
문제3. What were Ann’s first four search terms on the AppleTV (all incremental searches count)?
위 문제는 Ann이 가장 처음으로 검색한 4가지 키워드를 찾는 문제이다.
해당 정보는 Follow HTTP Stream을 통해서 찾아 내었는데요.. 답이 있는 위치는 tcp.stream eq 2에 위치하고 있는데
먼저 아래와 같이 Follow HTTP Stream을 클릭하여 보면
다음과 같이 query의 약자인 q=h로 시작하는 부분을 검색 할 수 있습니다.
패킷의 흐름을 보면서 스크롤을 내리다보면 Ann은 h, ha, hac, hack 순서로 검색했음을 확인 할 수 있습니다.
또한 NetworkMiner에서 Parameters 부분을 확인하여 보면 Ann이 요청하였던 모든 파라미터를 편리하게 다음과 같이 확인 할 수 있습니다. 이것 또한 역시 NetworkMiner의 위대함(?) 이지요...
3번) h, ha, hac, hack
문제4. What was the title of the first movie Ann clicked on?
Ann 이 클릭한 첫 번째 영화를 묻는 문제인데요
저는 Follow HTTP Stream을 통해서 패킷 하나하나의 진행을 보면서 답을 찾아내다보니 이곳에서 시간을 꽤 많이 소비하였네요... 정보는 tcp.stream eq 5 위치해 있었으며 Ann은 제목(Title)이 Hackers라는 영화를 클릭했습니다.
<key>Tiltle</key> 옆에 Hackers를 확인 할 수 있다.
4번) Hackers
문제5. What was the full URL to the movie trailer (defined by “preview-url”)?
이 문제는 위에 주어진 힌트인 ”preview-url”를 Find 기능으로 찾아서 풀 수 있었습니다.
다음과 같이 해당 키워드인 preview-url를 Packet details로 옵션을 준 후 검색합니다.
다음과 같이 빨간줄로 그어진 것과 같이 http://a227.v.phobos.apple.com/~~ 로 시작하는 URL을 확인 할 수 있습니다.
5번) http://a227.v.phobos.apple.com/us/r1000/008/Video/62/bd/1b/mzm.plqacyqb..640x278.h264lc.d2.p.m4v
문제6. What was the title of the second movie Ann clicked on?
위 문제는 첫번째에 이어서 Ann이 두번째로 클릭한 영화를 묻는 문제입니다.
해당 문제도 Follow HTTP Stream으로 찾았고 시간을 많이 소비하였는데요
찾는 방법은 첫번째 영화(Hackers)와 같이 Sneakers라는 것을 확인 할 수 있습니다.
6번) Sneakers
문제7. What was the price to buy it (defined by “price-display”)?
두번째 영화의 구입 가격을 묻는 문제입니다. 해당 문제도 price-display로 힌트가 주어졌네요.
하지만 price-display로 검색하게 되면 아래와 같이 price-display와 rent-price-display를 확인이 가능한데 문제의 취지는 구입 가격임으로 $9.99가 정답이였습니다.
7번) $9.99
문제8. What was the last full term Ann searched for?
마지막 문제는 Ann이 마지막으로 검색한 키워드가 무엇인지 찾는 문제입니다.
해당 문제는 역시 NetworkMiner에서도 확인이 가능한데요
패킷의 흐름을 보면서 확인 하기위해 Follow HTTP Stream으로 확인하여 보니 tcp.stream eq 18번 위치에 “q=iknowyourewatchingme” 를 검색 하였음을 확인 할 수 있었습니다.
8번) iknowyourewatchingme
[문제 정답]
1. What is the MAC address of Ann’s AppleTV?
A : 00:25:00:fe:07:c4
2. What User-Agent string did Ann’s AppleTV use in HTTP requests?
A : AppleTV/2.4
3. What were Ann’s first four search terms on the AppleTV (all incremental searches count)?
A : h, ha, hac, hack
4. What was the title of the first movie Ann clicked on?
A : Hackers
5. What was the full URL to the movie trailer (defined by “preview-url”)?
A : http://a227.v.phobos.apple.com/us/r1000/008/Video/62/bd/1b/mzm.plqacyqb. .640x278.h264lc.d2.p.m4v
6. What was the title of the second movie Ann clicked on?
A : Sneakers
7. What was the price to buy it (defined by “price-display”)?
A : $9.99
8. What was the last full term Ann searched for?
A : iknowyourewatchingme.
'IT > Network' 카테고리의 다른 글
[Network] DNS Amplication 증폭 공격 원리 (10) | 2022.03.16 |
---|---|
[Network Forensic] #4. The Curious Mr. X (1026) | 2018.08.10 |
[Network Forensic] #2. Ann Skips Bail (370) | 2018.08.09 |
[Network Forensic] #1. Ann's Bad AIM (1018) | 2018.08.09 |
윈도우 netstat와 telnet을 이용한 트러블 슈팅 방법 (373) | 2018.08.09 |