Не важно, как медленно ты продвигаешься, главное, что ты не останавливаешься.


Tuesday, 7 April 2015

DFIR Challenge Part 2

Difficulty: Easy
Evidence: nitroba.pcap
Question: What IP addresses were used by the system claiming the MAC Address 00:1f:f3:5a:77:9b?

Soal kedua diberikan file nitroba.pcap, yang berisi aktifitas jaringan yang direkam, yang dicari adalah ip yang digunakan oleh MAC address 00:1f:f3:5a:77:9b. Solusinya, buka file tersebut menggunakan wireshark, kemudian filter source mac address dengan 00:1f:f3:5a:77:9b.

Gambar 1 : Wireshark filter
Setelah difilter, terdapat packet ARP dari mac addess 00:1f:f3:5a:77:9b. Terdapat beberapa packet yang menyatakan mac address 00:1f:f3:5a:77:9b telah diketahui sebagai ip address 169.254.90.183, 192.168.1.64, dan 169.254.20.167


Cara yang lain adalah menggunakan tshark, dengan perintah :
tshark -r nitroba.pcap -Y "eth.src==00:1f:f3:5a:77:9b and ip" -T "fields" -e "ip.src"


Gambar 2 : Tshark filter
Jawaban : 169.254.80.183 , 192.168.1.64 , 169.254.20.167
5 λ .: DFIR Challenge Part 2 Difficulty: Easy Evidence: nitroba.pcap Question: What IP addresses were used by the system claiming the MAC Address 00:1f:f3:5a:77:9b? ...

No comments:

Post a comment

< >