네트워크 보안 (1) - 스니핑 해킹기법,스푸핑 해킹기법, 사이드 재킹

• 해킹 프로세스 (절차)

빅데이터 인공지능 openstack ssl 해킹

  정보 수집  ->  취약점 확인  ->  관리자 권한 획득

  (OS 버전, 응용 프로그램, IP주소, 도메인)

*칼리 리눅스 : 우분투 리눅스 기반으로 된 운영체제, 여러 종류의 해킹 및 보안과 관련된 프로그램들이 설치되어 있는 OS

• 정보 수집

  - 구글 검색 [자세한 검색]

intitle:[검색어] - 탭 제목에 포함된 내용으로 검색

filetype:[검색어] - 특정 파일 확장자로 검색

site:[검색어] - 특정 도메인 주소 검색

inurl:[검색어] - URL에 포함된 문자 검색

 - 정보 수집 사이트

news.netcraft.com - Internet Data Mining -> Hosting Provider Analysis

오른쪽에 정보를 수집하고 싶은 도메인 입력, 서버의 OS 정보, 웹 서버 정보, IP 등 확인 가능

archive.org - 특정 도메인의 업데이트 내역 기록

www.zone-h.org - 취약점이 존재하는 홈페이지 기록

• 네트워크 패킷을 이용한 해킹

  스캔툴 Nmap이용 정리

    (1) TCP Open Scan

nmap -sT -p 1-200 [타깃 IP]  (open스캔을하는데 1번부터 200번까지 포트 스캔을한다는뜻)

3WAY Hand Shake를 완전히 수행해 타깃에게 해커의 정보가 남는다

    (2) TCP Half Scan

nmap -sS -p 1-200 [타깃 IP]  (Half스캔을하는데 1번부터 200번까지 포트 스캔을한다는뜻)

3WAY Hand Shake를 완전히 수행하지않아 타깃에게 해커의 정보가 남지 않는다

    (3) FIN Scan

nmap -sF -p 1-200 [타깃 IP]  (FIN스캔을하는데 1번부터 200번까지 포트 스캔을한다는뜻)

열려있는 포트는 FIN 패킷을 받았을때 아무 반응이 없고, 닫힌 포트는 RST+ACK를 응답

    (4) X-mas Scan

nmap -sX -p 1-100 [타깃IP] (X-max스캔을하는데 1번부터 200번까지 포트 스캔을한다는뜻)

    FIN+PSH+URG가 남으며, 포트가 열려있으면 반응이없다.

    (5) NULL Scan

nmap -sN -p 1-100 [타깃IP] (NULL 스캔을하는데 1번부터 200번까지 포트 스캔을한다는뜻)

플래그가 전혀 없다, 포트가 열려있으면 반응이없다.

    (6) UDP Scan

nmap -sU -p 1-100 [타깃IP] (UDP 스캔을하는데 1번부터 200번까지 포트 스캔을한다는뜻)

포트가 열려있으면 반응이 없다, 닫혀있으면 ICMP Port Unreachable 패킷으로 응답

    (7)  Decoy Scan

        nmap -sX -p 1-100 [임의의 IP1] [임의의 IP2] [타깃IP]  (UDP 스캔을하는데 1번부터 200번까지 포트 스캔을한다

(여러종류)스캔시 임의의 IP를 출발지IP로 설정해 실제 해커 IP와 섞어서 보낸 공격

    (8)IDLE Scan

  nmap -sI [도메인] -p 1-100 [타깃IP]       <가짜 IP로 위장해 스캔 공격>

  nmap -sI www.naver.com -p 1-100 [타깃IP]    

• 스캔실습

<환경준비>

CentOS (NAT, 타깃) / Kali (NAT, 해커역)

<서비스 재시작 방법>

  -  service networking restart

  -  /etc/init.d/networking restart

1) 데비안 계열의 리눅스 IP 설정방법

/etc/network/interfaces

 auto eth0

 iface eth0 inet static

 address [IP주소]

 netmask [서브넷 마스크]

 gateway [GW주소]

 dns-nameservers [DNS주소]

---

• 해킹관련 용어

스니핑 : sniff라는 영단어에서 유례, 상대방 네트웤 패킷을 훔쳐보는 공격

스푸핑 : spoof라는 영단어에서 유례, 무언가를 조작해 속이는 공격

    (공격기법) ARP 스푸핑을 이용한 스니핑

IP주소를 이용해 MAC주소를 알아오는 프로토콜,  시스템에 어떤 (요청) 확인 절차도 없이 패킷내용을 ARP테이블에 등록한다.

이렇게, 출발지 MAC주소를 해커의 주소로 변경해서   GW와 통신을 할 때 해커에게 모든 패킷을 전달하게 된다.

• 스푸핑 공격

공격1) arpspoof -t [xp의 IP] [XP의 GW의 IP] 

공격2) arpspoof -t [XP의 GW의 IP] [xp의 IP] 

공격3) fragrouter -B1  (인터넷을 되게하는 명령어/가지고있는 정보를 라우터로 보내주는..)

* 본체의 맥주소 확인방법 < 스푸핑 공격을하면 맥주소가 공격자의 맥주소로 바뀜 >

arp -a | findstr 192.168.201.1

- 스푸핑 공격으로 인해 맥주소가 공격자의 맥주소로 바뀜

urlsnarf 공격

* 속해있는 ip대역의 모든 인터넷을 끊어버리는 해킹 공격

  tcpkill -i eth0 -9 tcp

  arpspoof -i eth0 [게이트웨이 IP]

- 스푸핑 공격 예시 그림

• 사이드 재킹 공격

MITM 공격을 수행 중일 때 사용자의 인터넷 이용 기록(쿠키)을 기록하는 공격

공격방법)

    모든걸 Kali에서 시행한다

CMD > hamster 

CMD > ferret -i 1 실행

firefox 설정

  ->  preferences -> Advanced -> network -> Settings -> Manual proxy configuration 체크

HTTP Proxy : localhost 포트 1234 (1234포트에서 동작함)

공감(♥) 과 댓글은 필자에게 큰 힘이 됩니다. 잠시 1초만 내주시면 안될까요? ~~ 로그인 없이도 가능합니당