| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | |||||
| 3 | 4 | 5 | 6 | 7 | 8 | 9 |
| 10 | 11 | 12 | 13 | 14 | 15 | 16 |
| 17 | 18 | 19 | 20 | 21 | 22 | 23 |
| 24 | 25 | 26 | 27 | 28 | 29 | 30 |
- livedata
- textview
- Coroutines
- Navigation
- tabbar
- 계측
- viewmodel
- drift
- scroll
- Flutter
- DART
- Dialog
- LifeCycle
- ScrollView
- intent
- Button
- CustomScrollView
- appbar
- Compose
- 앱
- 앱바
- 테스트
- TEST
- data
- activity
- 안드로이드
- textfield
- binding
- android
- Kotlin
- Today
- Total
Study Record
네트워크 해킹 보안 - 수정 필요 본문
주로 본격적인 공격을 하기 전에 패킷을 모으기 위해 사용된다.
ARP reply 신호를 지속적으로 보내 상대방의 arp cache 테이블에 MAC 주소를 변조시켜 패킷 감청 (패킷 스니핑)을 하기 위한 공격이다.
증상
네트워크 부하량이 늘어난다. (ARP 맥 주소를 계속 갱신해주어야 하기 때문에 부하량이 걸린다.)
arp cahche 테이블에 똑같은 ip는 다른데 MAC 주소가 같은 것이 있다.
대응 방안
arp 테이블에 정적으로 MAC 주소를 설정한다.
보안 솔루션 제품을 사용한다. (arpwatch, ips 등)
네트워크 장비를 Port Security 기능을 사용한다.
ttl 값 : 128(window) , 64(linux) , 55 (네트워크 장비)
mtu - 네트워크 상에서 데이터 단위 (ifconfig 로 확인가능) , 1500이면 ethernet
모의해킹 시
외국에 있는 VPN 을 통해 (한개를 통해)
TOR network & Proxychains 을 통해 - 속도 떨어짐 여러개의 노드를 거치지 때문
일반 프록시 서버 : 추적 가능
Proxychains - 중간에 있는 프록시들이 묶여져 있다. : TOR network , 처음부터 누군가 추적 불가능하게 만들어져있다.
다크 웹 - 필터링 없이 다 보여준다. 일반적으로는 검색같은거 하면 필터링 함
VPNGATE 프로그램을 깔아서 사용
다트웹 (Dark Web) => tor browser (필터링 없음) => proxychains firefox &
anycast - 주로 망 살아있나 테스트할 때 사용함.
NDP - ICMP사용 ipv6에서 APR 프로토콜의 역할을 하는 아이
ipv6
ipv6 stateless autoconfiguration
ipv6 router prefix modification
ipv6 address deduplecation detection : IP 주소가 겹치는지 확인
dhcpv6 & route ipv6 둘다 자동으로 ipv6 주소 받을 수 있다.
ip 설정이 겹칠 때 linux 는 강제적으로 설정되도록 되어있어서
window가 튕긴다. 리눅스가 이김
TCP 서비스 보기
cat /etc/services | grep -i tcp
nmap localhost. -> 현재 기동중인 서비스
netstat -antp | more -> nmap 이 없을 경우 현재 기동중인 서비스
UDP 서비스 보기
cat /etc/services | grep -i udp
nmap -sU ocalhost -> 현재 기동중인 서비스
netstat -anup | more -> nmap 이 없을 경우 현재 기동중인 서비스
TCP
처음 SYN / STN + ACK / ACK 를 설정하고 나면 이 설정시에 사용했던 경로(네트워크 경로)를 데이터 전송 시에 사용된다.
끝날 때 FIN / ACK + FIN / ACK 가 설정되면 사용됐던 경로(네트워크 경로)가 해제된다.
LLMNR : 윈도우에서 같은 네트워크 상에서 PC 들(서버) 이름을 알아낸다. 마치 로컬의 dns처럼 동작한다.
- 멀티캐스트 주소를 사용한다. - ipv4 224.0 , ipv6 ffo2
Browser : 공유자원에 대한 정보들을 확인
와이어샤크에서 tls 복호화 키가 존재한다면 복호화해서 보는 방법
Edit -> Preferences -> Protocols -> TLS -> RSA kets list Edit ->
ipaddr (서버 주소) , passwd 는 있으면 씀 -> 확인
이 방법은 복호화 키가 꼭 필요하다. 복호화 키만 있으면 중간에 낚아채는 패킷들을 모두 해석할 수 있다.
단, openSSL /SSH 를 사용하는 것이면 종단간 통신이 아니라면 중간에 해석하는 것은 불가능하다. - 암호화가 너무 섬세하게 되어있다.
서버 - Proxy -> 클라이언트 의 형태로 있을때 서버와 클라이언트 중간에 Proxy 와 서버가 종단간의 서비스가 된다면 tls 로 암호화된 내용도 볼 수 있다.
복호화키가 존재하지 않는 경우
crul -k https://192.168.20.200 -v | more => https 때 사용하는 암호화 방법을 알아낸다. (ECDHE-RSA-AES256-GCM-SHA384)
mkdir ~/packet $$ cd ~/packet
tcpdump -w http-sample.pcap -s 0 -i eth1 host 192.168.20.200 => 패킷 캡쳐 (~/packet/http-sample.pcap)
복호화키 잡는 방법
export SSLKEYLOGFILE=$HOME/packet/ssl_log.txt => 복호화 키 잡음
curl -k -X GET --cipher ECDHE-RSA-AES256-GCM-SHA384 https://192.168.20.200
SSLKEYLOGDILE 안에 복호화키가 들어있다.
'네트워크 해킹' 카테고리의 다른 글
| [네트워크 해킹] IP 우회 (0) | 2021.11.08 |
|---|---|
| [네트워크 해킹] ARP Spoofing Attack ( ARP Cache Poisoning Attack ) (0) | 2021.11.07 |
| 네트워크 해킹 및 보안 - DHCP - 수정 필요 (0) | 2021.10.28 |
| [네트워크 해킹] TCP SYN Flooding (0) | 2021.10.22 |
| 네트워크 보안과 해킹2 - 수정 필요 (0) | 2021.10.22 |
