Sniffing

: 스니퍼를 이용하여 네트워크상의 데이터를 도청하는 행위를 말한다 스니퍼란 컴퓨터 네트워크상에 흘러 다니는 트래픽을 엿듣는 도청장치라고 할 수 있다 스니핑 공격을 수동적 공격이라고 말하는데 공격할 때 아무 것도 하지 않고 조용히 있는 것만으로도 충분하기 때문이다

 

Sniffing Tool

- Wireshark

- Ettercap

- Tcpdump

 

Sniffing 기법

- MAC Flooding

- ARP Spoofing

- ARP Redirect

- ICMP Redirect

 

MAC Flooding

: 컴퓨터 네트워킹에서 미디어 액세스 제어 공격 또는 MAC 플러딩은 네트워크 스위치의 보안을 손상시키는 데 사용되는 기술이다

 

ARP Spoofing

: 근거리 통신망 하에서 주소 결정 프로토콜 메시지를 이용하여 상대방의 데이터 패킷을 중간에서 가로채는 중간자 공격 기법이다

 

ARP Redirect

: 공격자가 Gateway의 IP 주소를 알아내어, 공격대상에게 자신의 MAC 주소가 Gateway인 것처럼 속인 후, 브로드캐스트를 주기적으로 하여 패킷을 스니핑하는 공격방법이다

 

ICMP Redirect

: 3계층에서 스니핑 시스템을 네트워크의 존재하는 또 다들 라우터라고 알림으로써 패킷의 흐름을 바꾸는 공격이다 ARP Redirect와 차이점은 ARP Redirect는 희생자의 ARP Cache 정보를 변조하여 스니핑하는 것이고 ICMP Redirect는희생자의 라우팅 테이블을 변조하여 스니핑한다는 차이점이있다

'네트워크 해킹' 카테고리의 다른 글

SSH Downgrade Attack  (0) 2020.11.26
SSL Sniffing  (0) 2020.11.25
DNS Spoofing  (0) 2020.11.24
ARP Spoofing  (0) 2020.11.23
Scanning Tool ( NMAP Tool )  (0) 2020.11.20

DNS ( Domain Name System )

- 호스트의 도메인 이름을 호스트의 네트워크 주소로 바꾸거나 그 반대의 변환을 수행할 수 있도록 하기 위해 개발되었다

- 특정 컴퓨터의 주소를 찾기 위해, 사람이 이해하기 쉬운 도메인 이름을 숫자로 된 식별 번호로 변환해 준다

 

Spoofing

- 사전적인 의미로 '속이다'라는 뜻을 가지고 있다

- Spoofing 공격이란 속이는 것을 이용한 공격 기법들을 얘기한다

 

DNS Spoofing

: Client에서 Domain IP 질의를 할 때,  DNS 서버보다 앞서 응답 하여 공격자가 의도한 대로 공격자의 웹 서버 IP정보를 알려주는 공격 방법을 말한다

 

- 공격하기전 정상적인 흐름

 

- Client A는 변조된 DNS 서버의 주소 때문에 hacker가 만든 웹 서버로 접속하게 된다

 

DNS Spoofing 순서

1. Client A의 ARP Cache의 Gateway의 MAC 주소 hacker의 MAC주소로 변환

2. Client A가 보낸 패킷을 원래 주소로 포워딩

3. hacker가 만든 웹 서버로 유도

4. Client A에서 확인

 

실습환경

 

 

1. Client A의 ARP Cache의 Gateway의 MAC 주소 hacker의 MAC주소로 변환

( 이 작업까지만하게되면 Client A는 외부와 통신할 수 없는 상태가 된다 )

 

- Client A(192.168.1.4)의 ARP Cache에서 Gateway(192.168.1.1)의 MAC 주소를 hacker의 MAC으로 변환한다

 

- Client A에서 ARP Cache를 조회하면 Gateway(192.168.1.1)과 hacker(192.168.1.27)의 MAC주소가 같은걸 확인할 수 있다

 

2. Client A가 보낸 패킷을 원래 주소로 포워딩

( 이 작업을하게되면 Client A는 다시 외부랑 통신을할 수 있다 )

 

- ARP Spoofing을 하는 동시에 fragrouter -B1 명령어를 통해 Client A를 통해 받는 패킷을 다시 원래의 주인한테 포워딩을 해준다

 

3. hacker가 만든 웹 서버로 유도

 

- Kali_linux의 root 홈 디렉터리에서 hosts.txt 파일에 hacker의 웹서버와 매핑할 도메인을 적어준다

- 요즘 도메인은 접속하게되면 https로 자동으로 변환되기 때문에 https까지 처리하게 만들지 않는 이상 제대로 동작하지 않는다 때문에 있지 않은법한 도메인 주소를 적어주어서 잘 동작하게 만든다

( [hacker 웹 서버] [매핑할 도메인] )

 

- 재시작을 해준다

 

- dnsspoof -i eht0 -f ./hosts.txt 명령어를 이용해 dns spoofing을 시작해준다

 

4. Client A에서 확인

 

- hosts.txt 파일에 입력해준 www.testaaaa.com을 입력해주면 hacker가 만들어 놓은 웹 서버로 이동되는 것을 확인할 수 있다

'네트워크 해킹' 카테고리의 다른 글

SSL Sniffing  (0) 2020.11.25
Sniffing  (0) 2020.11.25
ARP Spoofing  (0) 2020.11.23
Scanning Tool ( NMAP Tool )  (0) 2020.11.20
Scanning  (0) 2020.11.20

ARP

- Address Resolution Protocol의 약자로서 IP주소를 MAC주소로 변환해주는 프로토콜이다

- IP 주소와 이에 해당하는 물리적 네트워크 주소 정보는 각 IP호스트의 ARP Cache라 불리는 메모리에 테이블 형태로 저장된 후 패킷 전송시 사용된다

 

Spoofing

- 사전적인 의미로 '속이다'라는 뜻을 가지고 있다

- Spoofing 공격이란 속이는 것을 이용한 공격 기법들을 얘기한다

 

ARP Spoofing

: ARP Spoofing 공격은 로컬 네트워크(LAN)에서 사용하는 ARP의 허점을 이용하여 자신의 MAC(Media Access Control) 주소를 다른 컴퓨터의 MAC인 것처럼 속이는 공격이다 ARP Spoofing 공격은 ARP Cache 정보를 임의로 바꾼다고 하여 ‘ARP Cache Poisoning 공격’이라고도 한다

 

 

ARP Spoofing 과정1. 공격자가 A에게 자신의 MAC주소를 B의 MAC 주소인 것처럼 속인다2. 1. 공격자가 B에게 자신의 MAC주소를 A의 MAC 주소인 것처럼 속인다3. A는 공격자를 B로 알고 B는 공격자를 A로 알게된다4. A가 B에게 패킷을 보내게 되면 공격자에게로 간다

 

실습환경

 

 

ARP Spoofing 순서

1. 공격자가 A에게 자신의 MAC주소를 B의 MAC 주소인 것처럼 속인다

2. A의 ARP Cache에서 바뀐 값을 확인한다

3. ping이 어디로 보내지는지 wireshark로 확인

 

1. 공격자가 A에게 자신의 MAC주소를 B의 MAC 주소인 것처럼 속인다

 

- Kali_Linux 에서 hacker가 client A(192.168.1.4)의 ARP Cache에 있는 Client B(192.168.1.12)의 대한 MAC주소를 자신의 것으로 바꾼다

 

2. A의 ARP Cache에서 바뀐 값을 확인한다

 

- Client A의 ARP Cache 내용에서 Client B(192.168.1.12)와 hacker(192.168.1.27)의 MAC 주소가 같은걸 확인할 수 있다

 

3. ping이 어디로 보내지는지 wireshark로 확인

 

- Client A가 Client B에게 Ping을 보냈지만 제대로 동작하지 않는걸 볼 수 있다

( hacket가 받고 다시 돌려 주는걸 설정하지 않았기 때문이다 )

 

- Client A는 분명 Client B에게 Ping을 보냈지만 wireshark에는 hacker의 IP인 27으로 패킷을 날리는 것을 확인할 수 있다

 

ARP Spoofing 보안 방법

- ARP Spoofing 보안- MAC 주소가 동적으로 유지되는 점을 이용한 공격이므로 정적으로 변경하면 공격이 불가능하다

( 상대의 MAC주소가 바뀌면 직접 설정을 변경해줘야 하기 때문에 번거롭다 )

'네트워크 해킹' 카테고리의 다른 글

SSL Sniffing  (0) 2020.11.25
Sniffing  (0) 2020.11.25
DNS Spoofing  (0) 2020.11.24
Scanning Tool ( NMAP Tool )  (0) 2020.11.20
Scanning  (0) 2020.11.20

Scanning Tool ( NMAP Tool )

- 대표적인 Scanning Tool 이다

- 모든 사람들이 자유롭게 이용 가능

- 네트워크 점검 및 OS 검색, version등 점검 가능

- 수 많은 호스트를 가진 네트워크를 고속으로 스캔

- 현존하는 대부분의 OS에서 사용 가능

- 쉬운 커맨드 명령 및 GUI 버전 지원

- 네트워크 스캔 툴 중 가장 많이 사용

 

NMAP Option

주 옵션

 

부 옵션

 

NMAP 동작

 

스캔 유형 옵션과 포트를 지정하고 타켓의 도메인이나 ip를 넣어주면 스캔이된다

( 단, 오래걸리고 아무 곳이나 하면 안된다 )

'네트워크 해킹' 카테고리의 다른 글

SSL Sniffing  (0) 2020.11.25
Sniffing  (0) 2020.11.25
DNS Spoofing  (0) 2020.11.24
ARP Spoofing  (0) 2020.11.23
Scanning  (0) 2020.11.20

Scanning 이란

: 침두 대상 서버 상태와 서비스 내역 및 활성화 상태를 확인 하기 위한 절차

 

Scanning 종류

- ICMP

- TCP/UDP

 

ICMP Ping을 통한 Scanning

- 네트워크와 시스템이 정상적으로 작동하는지 확인하기 위한 유틸리티

- 핑을 통해 나오는 TTL을 통해 운영체제의 종류를 확인 할 수 있다

( TTL 값은 임의로 설정이 가능하기 때문에 확신은 불가능 )

 

 

UDP OPEN Scan

- 공격자는 UDP 패킷 전송

- 서비스 PORT 오픈시 응답 없음

- 서비스 PORT 클로즈시 ICMP Unreachable 회신

- UDP 특성상 SCAN 신뢰성 저하

 

- 포트가 열려 있는 경우

 

- 포트가 닫혀 있는 경우

 

TCP OPEN Scan

- 공격자는 TCP 패킷 전송

- 서비스 PORT 오픈시 SYN+ACK 패킷 회신 후 ACK 전송

- 서비스 PORT 클로즈시 RST+ACK 패킷 회신

- 3-way handshaking 과정 수행으로 로그 기록 남음

 

- 포트가 열려 있는 경우

 

- 포트가 닫혀 있는 경우

 

Stealth Scan

- 스캔 하는 대상에 단순히 로그를 남기지 않음

- 공격 대상을 속이고 자신의 위치 또한 숨기는 스캔

 

Stealth Scan 종류

- TCP Half Open Scan

- FIN

- Xmas

- Null Scan

 

TCP Half Open Scan

- 공격자는 SYN 패킷 전송

- 서비스 PORT 오픈시 SYN+ACK 패킷 회신

- 공격자는 RET 패킷 송신

- 완전한 세션을 성립 하지 않고 포트의 활성화를 확인하므로 로그가 남지 않음

 

- 포트가 열려 있는 경우

 

- 포트가 닫혀 있는 경우

 

 FIN, Xmas, Null Scan

- 공격자는 FIN, Xmas, Null 패킷 전송

- 서비스 PORT 오픈시 응답 없음

 

- 포트가 열려 있는 경우

 

- 포트가 닫혀 있는 경우

'네트워크 해킹' 카테고리의 다른 글

SSL Sniffing  (0) 2020.11.25
Sniffing  (0) 2020.11.25
DNS Spoofing  (0) 2020.11.24
ARP Spoofing  (0) 2020.11.23
Scanning Tool ( NMAP Tool )  (0) 2020.11.20

+ Recent posts

티스토리툴바