2023/07/11 스푸핑

 

이런식으로 공격자의 컴퓨터를 하나 추가해줌
VM4로 설정해서 핑 통신도 원할하게 가능하다.

공격자에서 SYN Flooding Attack을 하기 위해
R3에서 telnet이 되는지를 확인을 위해
conf t
lin vty 0 4
password cisco
login
을 해서 로그인을 해준다.

 

R1에서 telnet 1.1.23.3을 쳐보고 아까 설정한 cisco비밀번호로 입력해주고
telnet이 잘 되는지 확인한다.

 

패킷캡쳐해두고 공격자로 와서 hping3 -h로 옵션을 확인해준다.
이렇게 보내게 되면 R1에서 했던 R3의 telnet도 안된다.

 

스푸핑을 하기위해 다시 처음에 했던 basic으로 돌아와서

 

 

클라이언트로 와서 ping통신을 한번씩 해주게 되면 arp에 이렇게 저장되어있는걸 확인할 수 있다.

 

다시 공격자로 와서 이렇게 치게 되면 arp를 속일 수 있다. 10.10.10.10에게 254가 보냈다고 속이는 것
저기 써있는것이 GW의 IP주소이지만 MAC주소는 공격자MAC주소이다.

공격자로 와서 이런식으로 친다. 스위치 환경에서 arpooding을 통해 스누핑이 가능하게 된다.
정상적인 외부통신의 통신은 빨간색 선인데 arp스푸핑을 통해 사용자에게 속이고 공격자에게 가고 외부로 다시 보내게 된다.
이것의 경로를 쭉 확인하자면 tracert로 확인이 가능하다.

 

공격자에게 포워딩을 해제하게되면 사용자에겐 통신이 오지않는다.

다른방법으로 포워딩 하는 방법은 이게 있다 하지만 트레이서로 잡히지 않는다.



[ 실습 ]
Gateway와 Host간 전달되는 모든 Packet을 Sniffing 해보고, Sniffing이 가능하지 않게 적절히 방어

A1) ARPtable 정적으로 등록 arp -s [IPadd] [MACadd]
A2) 암호화 => 스니핑 되더라도 내용 확인 불가
암호화 : 가장 강력한 방법이다.
- 스니핑이 되더라도 암호화가 되어있으면 내용을 확인할 수 없다.
- SSL, SSH, VPN, PHP< PEN, S/MIME

BT5에서 각 터미널 창 켠 후
arpspoof -i eth1 10.10.10.10 10.10.10.254
fragrouter -B1

[ 방어책 ]

ARP Static 설정을 해준다.
arp -s [IPadd] [MAC address]

스태틱은 시스템 재부팅하면 사라진다. 다시 사라지게 되면 스푸핑이 다시 가능하게 된다.
해답 : 배치파일 만들기 ( 윈도우 부팅 시 실행프로그램 )

 

윈도우에서 Cain을 켜줌

Sniffer눌러주고 위에 start /stop sniffer에서 플러스를 눌러준다면 같은 대역대에 있는 것이 쭉 뜬다.

 

10.10.10.10의 맥주소로 스푸핑이 된걸 확인할 수 있다. (사진을 못찍어서 옆사람 사진 빌려옴)






이것을 기반으로 DNS 스푸핑을 할 것

 

 

 

win_xp의 DNS주소를 8.8.8.8로 잠시 바꿔준다. nslookup으로 잘 바뀐것을 확인 했다.

 

토폴로지를 와서 빨간색이 원래 경로인데 인터넷으로 가야할 것이 공격자로 가는 것

 

 

공격자에서 arpspoof -i eth1 -t 10.10.10.10 10.10.10.254을 하고

이런식으로 설정해서 저장하고 새로운 터미널 창에서 dnsspoof -f dnsspoof를 치게 되면
win_xp에서 인터넷을 켜서 www.naver.com이나 www.google.com을 치게되면 www.webhack.com으로
이동된다. 그리고 아래 사진처럼 접속 할 때마다 공격자의 컴퓨터에서 접속했다고 뜨게된다.

 

ipconfig /flushdns 해서 캐시를 삭제해주고 다시 google을 검색하고 패킷을 확인해준다.
하나의 패킷을 확인해본다면 주소는 8.8.8.8이지만 공격자의 MAC주소인것을 확인할 수 있다.

[ 방어책 ]
호스트 파일에 들어가서 메모장 아래에 어디 IP주소는 어디로 이동된다는걸 확실하게 명시를 해두면
스푸핑이 되고있다고 해도 저장했던 원래 웹페이지로 들어간다.

 

호스트 파일 위치 C:\Windows\System32\drivers\etc\hosts






IP주소를 스푸핑하는 방법

 

이렇게 되어있는 상황에서 BT만 가능하게 하고 다른곳은 연결이 안되게 한다.

R1에서
line vty 0 4
password cisco
login
end

conf t
username admin privilege 15 secret cisco
access-list 10 permit host 10.10.10.30
access-list 10 deny any
lin vty 0 4
access-class 10 in
end

이렇게 세팅하게 되면 30번에서만 telnet원격 접속이 30번만 가능하게 된다.

이것을 xp에서 와이어샤크에서 보게 된다면 이런식으로 뜨게된다.

 

 

스푸핑을 쉽게하는 프로그램

 

s Term을 다운 받아주고 실행시켜주면 이렇게 까만 화면이다.

 

 

configur을 들어가주면 이런 화면을 보게 되는데 Spoofing을 확인해보면 이쪽에서 설정도 가능
위에서는 Adapter로도 가능하다 아래에서는 MAC Spoofing도 가능해진다.

 

 

10.10.10.30을 적용하고 확인하게 되면 이 클라이언트는 30번으로 설정하게 된다.
왼쪽 상단에 커넥트를 눌러주게 된다면 이런 화면이 뜨고 Port와 Hostname을 설정해준다.

 

 

여기서 천천히 작성해줘야 드랍하지않는다. 잘 입력하게 된다면 이런 화면으로 접속하게 됨 

 

 

이때 패킷 캡쳐를 해보게 된다면 IP를 바꿨지만 내부적으로 보면 arp도 바꿔서 보내게 된다.

 

ssh접속 하는 것

Linux-1에서
vi /etc/ssh/sshd_config 들어가서 :set nu로 줄 확인해서 38번째 줄에 주석을 없애주고 yes를 no로 바꿔줌
systemctl restart sshd를 해서 재시작해주고 유저를 하나 생성해줘야한다.
useradd user1해주고 passwd user1의 비밀번호를 1로 설정했다.
BT에서 ssh user1@10.10.10.22를 하게 되고 yes후 설정한 비밀번호인 1을 입력하면 접속이 가능하게 됨
(나머지는 내일 진행할 듯)