11/16 : 세팅, 네트워크 공격
192.168.10.0/24
gw: 192.168.10.2
dns: 192.168.10.2
*장비는 스위치 대신 허브개념으로 연결되어있음
*hub ==> VMnet8
세팅
KALI
- id: kali , pw: kali
sudo su - : 루트 권한
ifconfig > eht0 > 192.168.10.10 확인
METASPLOIT
msfadmin/msfadmin
Window
ip: 192.168.10.30
sub: 255.255.255.0
gw, dns: 192.168.10.2
cmd 에서 ipconfig로 주소할당 됐는지
방화벽 해제
kali에서 ping 192.168.10.30
공격자
불특정 다수에게 공격가능
- Target 선정 작업 (정보 수집) >> Target 선정 => 취약점 점검
- 취약점으로 공격 (파괴, 데이터 유출, 도청)
- 로그 삭제, 백도어 설치
네트워크 공격
- port scan공격
- pharming 공격
- DDoS 공격
Port scan
- 수동적 공격 > 법적 제재 가능
정보수집:kali에서 wireshark > 터미널에서 eth0 확인 > wireshark eth0 > 터미널 fping -g 192.168.10.0/24 >
*fping 유틸리티 프로토콜
>
display에 arp 패킷 >
arp request /arp reply
echo request/reply
*reply => arp.opcode ==2
icmp는 많이 안잡힘
>> arp수가 더 많음 > arp후에 icmp가 나가는 것을 볼 수 있음
nmap(스캔도구) ==> 관제, 보안팀 / 공격자
*관제사 == 공격자
nmap -sT 192.168.10.20 >> 열려있는 포트 확인 (확인 해서 공격 1~65355 > 포트스캔 정의)
- 문이 많이 열려져있는 ip선택
nmap -sT -O 192.168.10.20 >> 마지막 라인에 운영체제, 설치 커널 버전(커널로 시스템 공격), 네트워크 거리
*20보다는 30공격 > smb >> 파일 공유 프로토콜 >139/445
- 이 취약점을 보고 공겨하기 좋은 포트
sT >> 3way handshake를 이용한 공격
- syn을 줘서 ack로 열려있는 거 확인
3wayhandshake (full open scan) - 공격자의 정보가 남음 / 사내망 관리자가 사용
닫혀있는경우에 syn >> rst/ack
방화벽 설정인 경우 syn을 보내면 답을 안해줌 (시스템이 다운된 것처럼)
TCP Half Open scan
- 로그를 남지 않게 하기 위함
nmap -sS [ip]
- 열려있는 경우: syn>ack/syn>RST(세션 끊음)
- rst/ack > 닫혀있음
Stealth Scan : 로그를 남기지 않고, tcp헤더를 조작하여 특수패킷
- Fin, xmas, null, ack scan
- flag 모양
- sF : 닫혀있는 경우에 답을 해줌
- sX : fin, psh, urg
- sN : None
UDP scan
- 3way X
- UDP로 보내고 받고
- 닫힌경우에 ICMP에러 메시지 확인 >3계층에서 Unreachable
Pharming attack
spoofing 공격 사용
- arp 스푸핑
- dns 스푸핑
터미널에 setoolkit 엔터
1 > 2 > 3 > 2 > 엔터 > http://www.주소.com
Client(Window)에서 http://192.168.10.10
arp spoofing : arp 캐시테이블을 공격
arpspoof -i eth0 -t 192.168.10.30 192.168.10.2
dnspoof -f /dns
수신지 ip조회 방법
- dns 캐시 조회
- hosts.txt
- dns server
dns캐시테이블을 조작해서 수신지 아이피와 수신지 맥주소를 변경 해서 위장사이트로
> arp 캐시 , dns캐시 조작