네트워크 해킹 12

[2024.05.30]

[이미지 스니핑]

 

> 사용 도구: driftnet

 

01. ARP Spoofing

#arpspoof -i eth0 -t 192.168.10.201 192.168.10.2

 

02. Image Sniffing

#driftnet -i eth0

 

 

kali linux에서 arpspoof 공격을 Windows10에 공격시킨 다음

 

 

fragrouter도 실행시켜 준다

 

 

kali linux에서 driftnet을 실행시켜 준 다음 Windows10으로 이동 후 주소창에 gmarket.com을 입력하고 이동

이동 후에 아무 상품이나 눌러 준다

 

 

해당 상품을 클릭하게 되면 kali linux에서 실행시킨 driftnet 화면에서 똑같은 화면이 나오게 되는 걸 볼 수 있다

 

(= 같은 방법으로 Windows7과 CentOS7에도 적용시킬 수 있다)

 

 

> urlsnarf

 

01. ARP Spoofing

#arpspoof -i eth0 -t 192.168.10.201 192.168.10.2

 

02. URL Sniffing

#urlsnarf -i eth0

 

===========================================================

 

Dos / DDos

 

SYN Flooding

 

 

 

왼쪽이 공격자, 오른쪽이 공격 대상자

 

 

*Back Log Queue

 

해당 화면에서 정보 보안 기사에 나오는 것들

1) 공격 개념

2) 공격 방법

3) 방어 방법

 

[2024.05.30]

> 사용 도구: hping3

> 모니터링 도구: gnome-system-monitor

 

#gnome-system-monitor를 실행시켰을 때 나오는 화면

 

[SYN Flooding]

 

#hping3 -a 100.100.100.100 192.168.10.50 -S -p 80 --flood

#hping3 --rand-source 192.168.10.50 -S -p 80 --flood

 

<옵션>

-a: 소스 IP 주소 변조

-S: SYN 패킷 전송

-p: 포트 지정

--flood: Flood 공격(패킷 최대 전송)

--rand-source: 소스 IP 주소 랜덤 변조

-d: 데이터 크기 지정

--id:  식별자

-M: 순서 번호

 

 

CentOS7를 공격하게 되면

 

 

해당 화면처럼 그래프가 상승되는 걸 볼 수 있다

 

 

State를 잘 봐야 한다 공격을 하고 있지 않으면 해당 LISTEN으로 표시되지만

 

 

공격 직후에 tuna를 하게 되면 SYN_RECV가 표시되는데 해당 표시는 공격을 받았다고 간주해야 된다

 

*해당 상황도 정보보안기사에 자주 나온다

 

 

wireshark에서도 공격당하는 걸 확인할 수 있다

 

 

kali linux에서 --rand-source를 실행시켜 공격한 다음

 

 

 wireshark를 실행하게 되면 해당 화면에 SYN이 나오는 걸 확인할 수 있다

 

----------------------------------------------------------------------------------------------------------------------------------------------

 

[Ping of Death]

 

#hping3 -icmp -a 100.100.100.100 192.168.10.50 -d 65000 --flood

#hping3 -icmp --rand-source 100.100.100.100 192.168.10.50 -d 65000 --flood

 

 

 

Ping of Death = 패킷 분할 공격

 

패킷 분할 공격은 Ping of Death뿐만 아니라 Teardrop도 있다

*Teardrop은 규정 크기보다 작게 나눠서 보내는 공격

 

1) Packet Fragmentation

2) ICMP

3) MTU Over

 

Ping의 경우 ICMP Protocol을 사용한다

 

*규정 크기

- MTU: 1500Bytes

 

Data 크기가 1500bytes라고 하면 한 번에 보낼 수가 없으며, 분할시켜 공격하게 된다

 

 

 

*Identification -> 식별자

Identification & Fragment Offset 잘 보기

(IP header는 틈틈이 보는 게 좋다)

 

 

kali linux에서 공격을 시도하게 되면

 

 

 

CentOS7 gname-system-monitor로 네트워크 사용 기록이 100mb가 넘는 걸 볼 수 있다

 

 

CentOS7으로 top를 확인하게 되면 gnome-system이 있는 걸 확인할 수 있고 많은 양의 CPU가 사용되는 걸 볼 수 있다

 

*shift+p -> CPU를 많이 쓰는 순서를 확인

*shift+m -> 메모리를 많이 쓰는 순서를 확인

 

 

 

wireshark로 확인했을 때 source가 100.100.100.100이며, Info에서 ICMP가 나오는 걸 확인할 수 있다

이 현상을 Ping of Death라고 보면 된다

 

 

--rand-source로도 공격할 수 있다

 

 

--rand-source로 공격 후에 wireshark로 확인하면 해당 화면이 뜨는데 진행시켜 놓고

192.168.10.250의 kali linux 주소로 공격해 오는 걸 찾으면 확인할 수 있다

 

*Filter란에 ip.src==192.168.10.250 검색

 

[Teardrop]

 

 

Teardrop도 Ping of Death처럼 패킷 분할 공격이라고 알면 된다

 

 

Ping of Death와 다른 점은 해당 화면처럼 작게 자르는 듯한 방식으로 하며, 오프셋 공격도 한다

 

 

#hping3 -a 100.100.100.100 192.168.10.50 --id 3333 -M 4444 -p 21 -d 320 --flood

 

 

teardrop으로 공격 후

 

 

gnome-system을 확인할 수 있다

 

이 외에도 같은 방식으로 CentOS7에서  wireshark와 top로 확인할 수 있다

 

ex)

 

wireshark 화면에서는 teradrop 공격을 인식하지 못해 Info에서 X 표시로 표시된다