네트워크 (NAT)
| 역할 | 운영체제 | IP | MAC Address |
| Hacker | Kali | 192.168.150.101 | 00:0c:29:ef:2e:ee |
| Node 1 | CentOS | 192.168.150.102 | 00:0c:29:88:f2:dc |
| Node 2 | Rocky | 192.168.150.103 | 00:0c:29:f7:db:74 |
| Node 3 | Ubuntu | 192.168.150.104 | 00:0c:29:87:ef:a6 |
Tool : dsniff, fragrouter, promisecus
1. 스니핑
2. 스푸핑
- ARP Spoofing
- ICMP Spoofing
- DNS Spoofing
- DHCP Spoofing
3. 세션하이재킹
4. 서비스거부공격 (DoS & DDoS)
# 운영체제별 랜카드를 패킷 캡쳐 모드로 전환
ifconfig
로 랜카드 번호 및 모드 확인 후
ifconfig 랜카드 promisc
# 운영체제별 서비스 구동
- 텔넷서버
- SSH 서버
- 웹서버 게시판
- FTP
apt instlal -y vsftpd
gedit /etc/vsftpd.conf
id : anonymous pw : 엔터
# 25번라인 구문 수정
anonymous_enable=YES
# 31번라인 주석제거
write_enable=YES
# 40번라인 주석제거
anon_upload_enable=YES
# 44번라인 주석제거
anon_mkdir_write_enable=YES
# 공유폴더 생성
cd /srv/ftp
mkdir pub
chmod 777 pub
systemctl start vsftpd
systemctl enable vsftpd
systemctl status vsftpd
다른 운영체제에서)
yum install -y lftp
lftp 서버IP
or
ftp 서버IP
ARP Spoof 공격
CentOS에서)
arp -a
arp -a를 입력하자
IP와 MAC 주소를 주고받은 네트워크들의 정보가 저장되어 있습니다.
여기서 CentOS가 알고있는 우분투 서버(66)의 MAC주소를
해커의 MAC주소로 변경하는 공격을 시도하는 경우
Kali에서)
arpspoof -i eth0 -t 192.168.5.126 192.168.5.66
CentOS가 알고있던 우분투 서버의 MAC주소가
해커의 MAC주소로 변경되어 있습니다.
이제 CentOS에서 우분투로 접속을 시도할 경우
해커의 IP에게 패킷을 전송하게 되어 해커가 패킷을 감청할수 있게 됩니다.
Snort로 ARP Spoofing 감시하기
# 룰 설정
gedit /etc/snort/rules/local.rules
alert udp any any -> any any (msg:"ARP Spoofing DETECT"; sid:2000002; rev:1)
# snort 실행
snort -q -A console -b -c /etc/snort/snort.conf
실습
- Ubuntu에서 CentOS의 FTP 서버에 접속하려 한다. 이 때 해커가 ARP Spoofing를 하여 해킹을 시도했다.
Q1> 타겟은 정상적으로 FTP 서버에 접속할 수 있는가?
Q2> Snort로 탐지한 경우 FTP서버에 접속할 수 있는가?
Q3> Snort로 차단한 경우 FTP서버에 접속할 수 있는가?
해킹 시도 전의 FTP 연결 상태
FTP 접속이 잘 되며 MAC주소도 정상적인 상태입니다.
해킹 시도 후의 FTP 연결 상태
Kali에서 Arp Spoofing 공격을 하여
Ubuntu에서의 FTP 서버 맥 주소가 변경되었습니다.
속도가 매우 느려졌으나 FTP 접속은 가능한 상태입니다.
Snort로 ARP Spoofing 탐지하기
# 룰 설정
gedit /etc/snort/rules/local.rules
alert udp any any -> 192.168.150.104 any (msg:"ARP Spoofing DETECT"; sid:2000002; rev:1)
hping3를 이용한 서비스 거부 공격 (DoS & DDoS)
Ping of Death
hping3 --icmp --rand-source 192.168.150.102 -d 65000
다음과 같은 명령어로 Ping of Death 공격을 수행할 수 있습니다.
그러나 최신 OS는 이런 과부하 공격에 대한 대비가 잘 되어 있으며
가상 OS 몇개로 공격하는 정도로는 느려지게 만들기 힘듬을 확인할 수 있습니다.
SYN Flooding
hping3 --rand-source 192.168.150.102 -p 80 -S
80번 포트에 대해 SYN TCP 패킷을 보내는 SYN Flooding 공격입니다.
# 공격 당한 서버에서
netstat -an
을 입력했을 때 외부 IP주소에서 연결 요청을 한 것이 보입니다.
Teardrop
Teardrop
-> 시퀀스 넘버와 길이를 조작해 패킷 간의 데이터 부분이 겹치거나
빠진 상태로 패킷을 전송하게 만드는 공격 방법
hping3 -a 200.200.200.200 192.168.150.102 --id 3200 --seqnum -p 21 -d 320 --flood
WireShark로 공격 패킷을 확인하면
뒷부분의 패킷이 의미없게 변해 있는것을 확인할 수 있습니다.
Land Attack
패킷을 전송할 때 출발지 주소와 목적지 주소를 같게 만들어
피해자가 응답 요청에 대한 응답을 자기 자신에게 보내게 만들어
과부하가 걸리도록 만듭니다.
hping3 192.168.150.102 -a 192.168.150.102 --icmp --flood
WireShark로 캡쳐 결과 출발지와 목적지가 같은 ICMP 패킷이
계속해서 전송되는 것을 확인할 수 있습니다.
Smurf
사전에 백도어를 통해 감염시켜놓은 좀비PC(BotNet)를 이용하여
피해자를 일제히 공격하는 공격방법 입니다.
