university hacking & security frontier spoofing & scanning 2008. 2. 25. 서 승 현...
TRANSCRIPT
University Hacking & Security Frontierhttp://www.padocon.org
Spoofing & Scanning
2008. 2. 25.
서 승 현([email protected])
1
University Hacking & Security Frontierhttp://www.padocon.org PAraDOx CONference 2008
발표자 소개
• 홍익대학교 컴공과 2 학년• Nchovy.kr 네트워크 담당• Nchovy.kr 웹개발• RSS Reader 개발• 관련 자격증
- CCNP - LPIC
University Hacking & Security Frontierhttp://www.padocon.org PAraDOx CONference 2008
목 차• ARP Packet 분석 - Header 의 내용• ARP Spoofing• MAC Flooding• DNS Spoofing• IDLE Scan
3PAraDOx CONference 2008
University Hacking & Security Frontierhttp://www.padocon.org PAraDOx CONference 2008
Test 환경• VMware 상 PC3(4) 대 - Server , XP , Whoppix(or BackTrack)• 필요한 상황에서는 GNS 를 이용 - 가상 Emulator 사용 원격환경 설정• Packet Analyzer - WireShark• Cisco Simulator 사용
4
University Hacking & Security Frontierhttp://www.padocon.org PAraDOx CONference 2008
Test 구성
• Test 환경 - 좌측 Local 은 192.168.10.0/24 - 우측 Local 은 192.168.20.0/24 - Routing protocol 은 Rip 을 사용 - Cisco 2xxx 장비를 사용 - Ethernet 환경
University Hacking & Security Frontierhttp://www.padocon.org PAraDOx CONference 2008
ARP Packet Test
• Cisco Emulator 환경
University Hacking & Security Frontierhttp://www.padocon.org PAraDOx CONference 2008
Test 1
• 10.1 -> 20.1 Ping Test ( 외부 Network)
University Hacking & Security Frontierhttp://www.padocon.org PAraDOx CONference 2008
Test 2
• Router– ARP Request
Packet 받음
• BB,CC,DD – ARP Request
Packet 드랍
University Hacking & Security Frontierhttp://www.padocon.org PAraDOx CONference 2008
Test 3
• PC -> Router : Arp Request• Router -> Pc : Arp Reponse
University Hacking & Security Frontierhttp://www.padocon.org PAraDOx CONference 2008
Packet Analyze 환경
• VMware 환경구축 - NAT 환경 192.168.8.0/24 Network - PC 8.1 , VMware 8.100 , GW 8.2• Flooding Attack : MAC Flooding - Packet Analyzer 로 확인• Sniffing Attack : Analyzer 로 확인
University Hacking & Security Frontierhttp://www.padocon.org PAraDOx CONference 2008
Packet Analyze 1• VMware -> PC Ping Test
University Hacking & Security Frontierhttp://www.padocon.org PAraDOx CONference 2008
Packet Analyze 2
• ARP 요청 -> ICMP 패킷의 교환 - Request -> Reply 로 이루어져 있음 - Packet Forwarding 시 Ethernet
헤더 (MAC) 이 필요함을 알수 있음
- ARP Packet 에는 인증이 없음 .
University Hacking & Security Frontierhttp://www.padocon.org PAraDOx CONference 2008
ARP Request Header
• ARP Request Packet 내용
University Hacking & Security Frontierhttp://www.padocon.org PAraDOx CONference 2008
ARP Request Header 분석
• Ethernet Header - DM : FF:FF:FF:FF:FF:FF(Broad Cast) - SM : ARP Request 요청 PC MAC• ARP Header - Target MAC : 00:00:00:00:00:00 - Target IP : 수신자측 (192.168.8.1)※ ARP 는 상대의 MAC 만 알아올때 쓰인
다 !
University Hacking & Security Frontierhttp://www.padocon.org PAraDOx CONference 2008
ARP Reply Header
• ARP Reply Header 내용
University Hacking & Security Frontierhttp://www.padocon.org PAraDOx CONference 2008
ARP Reply Header 분석
• Ethernet Header - DM : ARP Request 요청 PC MAC - SM : Reply 측 PC MAC• ARP Header - Target MAC : Reply 측 PC MAC - Target IP : 수신자측 (192.168.8.100)※ ARP Request 의 DM & TM 내용만
바뀐다 .
University Hacking & Security Frontierhttp://www.padocon.org PAraDOx CONference 2008
공 격 방 법
• ARP 를 이용한 ARP Spoofing - 결국 Sniffing 을 위한 사전공격
- MITM 공격을 위한 사전공격• Analyzer 를 이용한 Sniffing - Data 를 빼내기 위한 공격• TCP 취약점을 이용한 Scanning - Idle Scanning - Syn Scanning , Fin Scanning - X-mas Scanning , Y-mas Scanning
University Hacking & Security Frontierhttp://www.padocon.org PAraDOx CONference 2008
ARP Spoofing
• Ethernet 통신의 취약점 이용한 공격• ARP 프로토콜 취약점 – 인증이 없다 !• Local 에서 일어나는 공격• PC 가 Routing 이 가능해야 한다 .
University Hacking & Security Frontierhttp://www.padocon.org PAraDOx CONference 2008
MAC Flooding
• Switch 의 MAC Table 학습 취약점 이용• DoS 공격의 일종 - Local DoS 공격 - Rip Flooding, (BPDU , HSRP) Attack
University Hacking & Security Frontierhttp://www.padocon.org PAraDOx CONference 2008
Sniffing
• Sniffing : 훔쳐듣다 - ARP Spoofing 이 선행되어야한다 - Hub 환경에서는 기본적으로 가능• MITM 공격의 일종 Data 를 빼내는 공
격 .
University Hacking & Security Frontierhttp://www.padocon.org PAraDOx CONference 2008
Scanning
• Scanning : 검색 - 원격에서 Attacker 가 공격을 위한
사전조사 단계에서 실행 - TCP 의 성질을 이용함 - Three-way Handshaking 을 이용
University Hacking & Security Frontierhttp://www.padocon.org PAraDOx CONference 2008
ARP Spoofing 방법론
• ARP 취약점을 이용한 ARP Spoofing - Local 통신시 Ethernet(MAC)
통신임을 노린 공격 - ARP Reply 를 피해자에게 변조공격 - Sniffing 공격을 시도하기 위한 사전공격
University Hacking & Security Frontierhttp://www.padocon.org PAraDOx CONference 2008
ARP Spoofing 공격
• 환경설정 - XP *.1.100, Server *.1.101, Whoppix
*.1.102
- 외부 환경과 단절된 네트워크 구성 - XP 와 Server 의 통신 간 패킷이 공격자를 거쳐가는 경로 확인 .
University Hacking & Security Frontierhttp://www.padocon.org PAraDOx CONference 2008
ARP Spoofing• 정상경로와 Spoofing 후의 경로
University Hacking & Security Frontierhttp://www.padocon.org PAraDOx CONference 2008
정상적인 통신 MAC
University Hacking & Security Frontierhttp://www.padocon.org PAraDOx CONference 2008
정상적인 ARP Table
University Hacking & Security Frontierhttp://www.padocon.org PAraDOx CONference 2008
공격 Packet Forwarding
University Hacking & Security Frontierhttp://www.padocon.org PAraDOx CONference 2008
WireShark Analyze
University Hacking & Security Frontierhttp://www.padocon.org PAraDOx CONference 2008
공격 후 ARP Table
University Hacking & Security Frontierhttp://www.padocon.org PAraDOx CONference 2008
ARP Spoofing 검토
• ARP Spoofing 만으로 할 수 있는 일은 없다 .• 공격자의 NIC 이 Promiscuous mode 로
되어있어야 한다 . - /proc/sys/net/ipv4/ip_forward File 0 -> 1 - FragRouter Tool 사용• Sniffing 을 위한 사전단계 공격
University Hacking & Security Frontierhttp://www.padocon.org PAraDOx CONference 2008
MAC Flooding 방법론
• MAC & IP Random 변조 공격• Switch 의 MAC Table 학습 취약점 - Table 에 없는 Mac Address 일 경우 All Port Flooding• 48 Bit Random MAC 생성할수 있음 - 거의 무한으로 Flooding 할수 있다 .
University Hacking & Security Frontierhttp://www.padocon.org PAraDOx CONference 2008
MAC Flooding
• 정상적인 Packet 들
University Hacking & Security Frontierhttp://www.padocon.org PAraDOx CONference 2008
MAC Flooding
• MAC Address, IP 랜덤 생성 무한루프
University Hacking & Security Frontierhttp://www.padocon.org PAraDOx CONference 2008
MAC Flooding• 공격중인 화면
University Hacking & Security Frontierhttp://www.padocon.org PAraDOx CONference 2008
MAC Flooding
• 공격 중 패킷 캡처
University Hacking & Security Frontierhttp://www.padocon.org PAraDOx CONference 2008
MAC Flooding
• 랜덤 MAC 확인
University Hacking & Security Frontierhttp://www.padocon.org PAraDOx CONference 2008
MAC Flooding 사후검토
• DoS Attack 의 일종 - Smurf, Syn Flooding, Land Attack - BPDU Attack, Rip Flooding,HSRP
Attack• Switch 의 MAC 학습 취약점 이용• Network 점유율 대폭 증가 - Local Network 속도 저하
University Hacking & Security Frontierhttp://www.padocon.org PAraDOx CONference 2008
DNS Spoofing 방법론
• MITM 공격의 일종• DNS 프로토콜의 인증이 없는 취약점 공격• Phishing 에 이용될 수 있음 .• ARP Spoofing 이 선행되어야 함 .
University Hacking & Security Frontierhttp://www.padocon.org PAraDOx CONference 2008
DNS Spoofing
• 정상 DNS 쿼리 경로와 Spoofing 후 경로
University Hacking & Security Frontierhttp://www.padocon.org PAraDOx CONference 2008
DNS Spoofing• XP 의 통신확인
University Hacking & Security Frontierhttp://www.padocon.org PAraDOx CONference 2008
DNS Spoofing
• 사전 ARP Spoofing
University Hacking & Security Frontierhttp://www.padocon.org PAraDOx CONference 2008
DNS Spoofing
• DNS Spoofing 정보 파일 작성
University Hacking & Security Frontierhttp://www.padocon.org PAraDOx CONference 2008
DNS Spoofing
• ARP Spoofing 후 통신불능 상태 해제
• DNS Spoofing 공격
University Hacking & Security Frontierhttp://www.padocon.org PAraDOx CONference 2008
DNS Spoofing• DNS Spoofing 공격 성공
University Hacking & Security Frontierhttp://www.padocon.org PAraDOx CONference 2008
DNS Spoofing 사후 검토
• MITM 공격의 일종• ARP Spoofing 으로 Packet Sniffing• DNS 의 통신 취약점 - DNS 쿼리는 먼저 온 패킷을 받아들인
다 . - 나중에 온 패킷은 Drop
University Hacking & Security Frontierhttp://www.padocon.org PAraDOx CONference 2008
Idle Scanning 방법론
• 조용한 윈도우 서버를 이용한 Scanning• Linux 와 Windows 의 패킷 ID 값 관리
차이를 이용한 Scanning• 윈도우는 모든 세션에 대하여 ID 를 공유• 리눅스는 세션별로 ID 가 다르다 .
University Hacking & Security Frontierhttp://www.padocon.org PAraDOx CONference 2008
Idle Scanning
• Idle Scan Packet 흐름
University Hacking & Security Frontierhttp://www.padocon.org PAraDOx CONference 2008
Idle Scanning
• IP Spoofing 을 이용한 Scanning• Server 가 Victim 에게 ICMP 패킷을 보내는 것으로 위장• Windows 는 패킷 ID 를 공유하므로 ID
값의 변화를 관찰하여 포트를 스캐닝
University Hacking & Security Frontierhttp://www.padocon.org PAraDOx CONference 2008
Idle Scanning
• Hping 으로 조용한 Server 에 지속적인 ICMP Packet Forwarding
University Hacking & Security Frontierhttp://www.padocon.org PAraDOx CONference 2008
Idle Scanning
• IP Spoofing 을 통한 Syn Scan
University Hacking & Security Frontierhttp://www.padocon.org PAraDOx CONference 2008
Idle Scanning 검토
• 조용한 서버를 찾기만 한다면 Attacker 가 드러나지 않는다 .• 가능한 이유 - Victim 의 Port 가 닫힌 경우 RST 를 보내므로 Server 가 응답하지 않음 . - Victim 의 Port 가 열린 경우 ACK/SYN 을 보내므로 서버가 RST 를 보낸다 .