Spoofing scanning
This presentation is the property of its rightful owner.
Sponsored Links
1 / 51

Spoofing & Scanning PowerPoint PPT Presentation


  • 161 Views
  • Uploaded on
  • Presentation posted in: General

Spoofing & Scanning. 2008. 2. 25. 서 승 현 ([email protected]). 발표자 소개. 홍익대학교 컴공과 2 학년 Nchovy.kr 네트워크 담당 Nchovy.kr 웹개발 RSS Reader 개발 관련 자격증 - CCNP - LPIC. 목 차. PA ra DO x CON ference 2008. ARP Packet 분석 - Header 의 내용 ARP Spoofing MAC Flooding DNS Spoofing IDLE Scan. 3.

Download Presentation

Spoofing & Scanning

An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -

Presentation Transcript


Spoofing scanning

Spoofing & Scanning

2008. 2. 25.

서 승 현

([email protected])


Spoofing scanning

발표자 소개

홍익대학교 컴공과 2학년

Nchovy.kr 네트워크 담당

Nchovy.kr 웹개발

RSS Reader 개발

관련 자격증

- CCNP

- LPIC


Spoofing scanning

목 차

PAraDOx CONference 2008

ARP Packet 분석

- Header의 내용

ARP Spoofing

MAC Flooding

DNS Spoofing

IDLE Scan

3


Spoofing scanning

Test 환경

  • VMware상 PC3(4)대

    - Server , XP , Whoppix(or BackTrack)

  • 필요한 상황에서는 GNS를 이용

    - 가상 Emulator사용 원격환경 설정

  • Packet Analyzer

    - WireShark

  • Cisco Simulator사용


Spoofing scanning

Test 구성

Test 환경

- 좌측 Local은 192.168.10.0/24

- 우측 Local은 192.168.20.0/24

- Routing protocol 은 Rip을 사용

- Cisco 2xxx 장비를 사용

- Ethernet 환경


Arp packet test

ARP Packet Test

Cisco Emulator 환경


Test 1

Test 1

10.1 -> 20.1 Ping Test (외부 Network)


Test 2

Test 2

Router

ARP Request Packet 받음

BB,CC,DD

ARP Request Packet 드랍


Test 3

Test 3

PC -> Router : Arp Request

Router -> Pc : Arp Reponse


Packet analyze

Packet Analyze 환경

VMware 환경구축

- NAT 환경 192.168.8.0/24 Network

- PC 8.1 , VMware 8.100 , GW 8.2

Flooding Attack : MAC Flooding

- Packet Analyzer로 확인

Sniffing Attack : Analyzer로 확인


Packet analyze 1

Packet Analyze 1

VMware -> PC Ping Test


Packet analyze 2

Packet Analyze 2

ARP 요청 -> ICMP 패킷의 교환

- Request -> Reply로 이루어져 있음

- Packet Forwarding시 Ethernet 헤더

(MAC)이 필요함을 알수 있음

- ARP Packet에는 인증이 없음.


Arp request header

ARP Request Header

ARP Request Packet 내용


Arp request header1

ARP Request Header 분석

Ethernet Header

- DM : FF:FF:FF:FF:FF:FF(Broad Cast)

- SM : ARP Request요청 PC MAC

ARP Header

- Target MAC : 00:00:00:00:00:00

- Target IP : 수신자측(192.168.8.1)

※ ARP는 상대의 MAC만 알아올때 쓰인다!


Arp reply header

ARP Reply Header

ARP Reply Header 내용


Arp reply header1

ARP Reply Header 분석

Ethernet Header

- DM : ARP Request요청 PC MAC

- SM : Reply측 PC MAC

ARP Header

- Target MAC : Reply측 PC MAC

- Target IP : 수신자측 (192.168.8.100)

※ ARP Request의 DM & TM 내용만 바뀐다.


Spoofing scanning

공 격 방 법

ARP를 이용한 ARP Spoofing

- 결국 Sniffing을 위한 사전공격

- MITM 공격을 위한 사전공격

Analyzer 를 이용한 Sniffing

- Data를 빼내기 위한 공격

TCP 취약점을 이용한 Scanning

- Idle Scanning

- Syn Scanning , Fin Scanning

- X-mas Scanning , Y-mas Scanning


Arp spoofing

ARP Spoofing

Ethernet 통신의 취약점 이용한 공격

ARP 프로토콜 취약점 – 인증이 없다!

Local에서 일어나는 공격

PC가 Routing이 가능해야 한다.


Mac flooding

MAC Flooding

Switch의 MAC Table 학습 취약점 이용

DoS 공격의 일종

- Local DoS 공격

- Rip Flooding, (BPDU , HSRP) Attack


Sniffing

Sniffing

Sniffing : 훔쳐듣다

- ARP Spoofing이 선행되어야한다

- Hub 환경에서는 기본적으로 가능

MITM 공격의 일종 Data를 빼내는 공격.


Scanning

Scanning

Scanning : 검색

- 원격에서 Attacker가 공격을 위한

사전조사 단계에서 실행

- TCP의 성질을 이용함

- Three-way Handshaking을 이용


Arp spoofing1

ARP Spoofing 방법론

ARP 취약점을 이용한 ARP Spoofing

- Local 통신시 Ethernet(MAC) 통신임을

노린 공격

- ARP Reply를 피해자에게 변조공격

- Sniffing 공격을 시도하기 위한

사전공격


Arp spoofing2

ARP Spoofing 공격

환경설정

- XP *.1.100, Server *.1.101, Whoppix *.1.102

- 외부 환경과 단절된 네트워크구성

- XP와 Server의 통신 간 패킷이

공격자를 거쳐가는 경로 확인.


Arp spoofing3

ARP Spoofing

정상경로와 Spoofing 후의 경로


Spoofing scanning

정상적인 통신 MAC


Arp table

정상적인 ARP Table


Packet forwarding

공격 Packet Forwarding


Wireshark analyze

WireShark Analyze


Arp table1

공격 후 ARP Table


Arp spoofing4

ARP Spoofing 검토

ARP Spoofing만으로 할 수 있는 일은 없다.

공격자의 NIC이 Promiscuous mode로 되어있어야 한다.

- /proc/sys/net/ipv4/ip_forward File

0 -> 1

- FragRouter Tool 사용

Sniffing을 위한 사전단계 공격


Mac flooding1

MAC Flooding 방법론

MAC & IP Random 변조 공격

Switch의 MAC Table 학습 취약점

- Table에 없는 Mac Address일 경우

All Port Flooding

48 Bit Random MAC 생성할수 있음

- 거의 무한으로 Flooding 할수 있다.


Mac flooding2

MAC Flooding

정상적인 Packet들


Mac flooding3

MAC Flooding

MAC Address, IP 랜덤 생성 무한루프


Mac flooding4

MAC Flooding

공격중인 화면


Mac flooding5

MAC Flooding

공격 중 패킷 캡처


Mac flooding6

MAC Flooding

랜덤 MAC 확인


Mac flooding7

MAC Flooding 사후검토

DoS Attack의 일종

- Smurf, Syn Flooding, Land Attack

- BPDU Attack, Rip Flooding,HSRP Attack

Switch의 MAC 학습 취약점 이용

Network 점유율 대폭 증가

- Local Network 속도 저하


Dns spoofing

DNS Spoofing 방법론

MITM 공격의 일종

DNS 프로토콜의 인증이 없는 취약점 공격

Phishing에 이용될 수 있음.

ARP Spoofing이 선행되어야 함.


Dns spoofing1

DNS Spoofing

정상 DNS 쿼리 경로와 Spoofing 후 경로


Dns spoofing2

DNS Spoofing

XP의 통신확인


Dns spoofing3

DNS Spoofing

사전 ARP Spoofing


Dns spoofing4

DNS Spoofing

DNS Spoofing 정보 파일 작성


Dns spoofing5

DNS Spoofing

ARP Spoofing 후 통신불능 상태 해제

  • DNS Spoofing 공격


Dns spoofing6

DNS Spoofing

DNS Spoofing 공격 성공


Dns spoofing7

DNS Spoofing 사후 검토

MITM 공격의 일종

ARP Spoofing으로 Packet Sniffing

DNS 의 통신 취약점

- DNS 쿼리는 먼저 온 패킷을 받아들인다.

- 나중에 온 패킷은 Drop


Idle scanning

Idle Scanning 방법론

조용한 윈도우 서버를 이용한 Scanning

Linux와 Windows의 패킷 ID값 관리차이를 이용한 Scanning

윈도우는 모든 세션에 대하여 ID를 공유

리눅스는 세션별로 ID가 다르다.


Idle scanning1

Idle Scanning

Idle Scan Packet 흐름


Idle scanning2

Idle Scanning

IP Spoofing을 이용한 Scanning

Server가 Victim에게 ICMP 패킷을

보내는 것으로 위장

Windows는 패킷 ID를 공유하므로 ID값의 변화를 관찰하여 포트를 스캐닝


Idle scanning3

Idle Scanning

Hping으로 조용한 Server에 지속적인

ICMP Packet Forwarding


Idle scanning4

Idle Scanning

  • IP Spoofing을 통한 Syn Scan


Idle scanning5

Idle Scanning 검토

조용한 서버를 찾기만 한다면 Attacker가

드러나지 않는다.

가능한 이유

- Victim의 Port가 닫힌 경우 RST를

보내므로 Server가 응답하지 않음.

- Victim의 Port가 열린 경우 ACK/SYN

을 보내므로 서버가 RST를 보낸다.


  • Login