패킷분석2 statistic을 통해 주로 어떤 패킷을주고 받았는지 확인합니다. http 패킷쪽에서 Media Type의 패킷이 어느정도 분포하고 있습니다. 따라서 웹에서 첨부파일이 있다는 짐작을 할 수 있습니다. packet counter를 보면 2xx번대의 정상적인 패킷들을 제외하고, 4xx대의 오류(없는 페이지 접근)를 주로 발생시키는 것을 확인할 수 있습니다. 4xx대의 오류는 brute force 공격이나 SQL인젝션에서 많이 발생시킵니다. 무차별 대입을 시도하니 당연한 결과입니다. 192.168.206.133에서 8180포트로 접근한 것을 살펴보면 /manager/html/upload와 shell.jsp에 접근한 것을 볼 수 있습니다. 그러므로 피해 서버의 ip는 192.168.206.133이고..
원문링크 : 침입 패킷분석2
네이버 블로그
티스토리
커뮤니티