Study Record

arp cache table 관련 명령어 1. linux 명령어 # arp -s : IP번호의 MAC주소를 arp cache table에 정적으로 등록한다. - 동적으로 생성된 것과 IP가 같다면 정적으로 등록한 것이 우선시 된다. # arp -a : arp cache table 확인 # arp -d : IP 번호와 관련된 MAC 주소를 삭제한다. # arp -an : 해석된 이름을 보여주지 않고 arp cache table 내용을 보여준다. 2. window 명령어 c:\> arp -d : arp cache table 전체 내용 지움 c:\> arp -a : arp cache table 내용 확인 c:\> netsh interface show interface : 네트워크 인터페이스 이름 보기 c:\>..

1. DNS Spooging 이란? ☞ DNS 서버로 보내는 질문을 가로채서 변조된 결과를 보내주는 것으로 일종의 중간자 공격이다. 2. 실습 개요 ㉮ 공격자는 가짜 사이트를 구축하고 자신의 dns 서버에 등록한다. ㉯ 공격자는 arpspoofing 을 통해 공격대상 시스템이 통신할 때 공격자를 통하도록 한다. ㉰ 공격 대상 시스템이 사이트에 대한 요청을 하면 공격자는 가짜 사이트에 대한 IP를 알려준다. ㉱ 공격 대상 시스템은 공격자가 만든 가짜 사이트로 접속하게 된다. 공격자 : kaliLinux (192.168.20.50) 공격 대상 : Window 2008 (192.168.20.201) 방화벽/라우터 : Linux (192.168.20.100) 3. 실습 과정 [kaliLinu..

hping3 CMD - DoS/DDoS 공격에 사용된다. (Flooding Attack - Ping of Death) - Scanning(Port Scan && Host Sweep) - Flooding Attack(EX: Ping of Death) - IP Spoofing -> 보안장비 Rule Test(F/W, IPS, UTM, ...) 형식 hping3 옵션 -S --syn : set SYN flag -p --destport : destination port(default 0) ctrl+z inc/dec -i --interval : wait (uX for X microseconds, for example -i u1000) --fast : alias for -i u10000 (10 packets for..

※ 웹 프록시 - 웹 성능을 높이기 위해, 보안 강화를 위해 사용된다. (좋은 용도) - 소스 IP을 숨기기위해, 코드 수정/변조를 위해 사용된다. (나쁜 용도) 1. proxychains CMD - 웹 브라우저 뿐만 아니라 일반 명령어도 proxy 지정하여 스캐닝 작업을 할 수 있다. - 여러대의 프록시들이 체인형태로 이어져 있어 IP 추적이 사실상 불가능하다. 1-1. 설치 & 상태확인 # apt-get update # apt-get -y install tor proxychains libproxychains # systmectl status tor # netstat -an | grep 9050 : 9050 포트를 사용하고 있다. # locate proxychains (# dpkg -L proxycha..

1. 개요 주로 본격적인 공격을 하기 전에 패킷을 모으기 위해 사용된다. ARP reply 신호를 지속적으로 보내 상대방의 arp cache 테이블에 MAC 주소를 변조시켜 패킷 감청 (패킷 스니핑)을 하기 위한 공격이다. 로컬에서 통신하고 있는 서버와 클라이언트의 IP 주소에 대한 2계층 MAC 주소를 공격자의 MAC 주소로 속여 클라이언트가 서버로 가는 패킷이나 서버에서 클라이언트로 가는 패킷을 중간에서 가로채는 공격이다. 2. 공격 실습 - ettercap 공격자 : kaliLinux (192.168.20.50) 공격대상 : linux (192.168.20.200) , linux (192.168.20.100) [kaliLinux] # ettercap -G & ㉮ 아래 버튼을 눌러 시작한다. ㉯ 1번..

DHCP (동적 호스트 구성 프로토콜) 자동으로 주소 할당 기본 정보 - ip/Netmask , Default Route IP 추가 정보 - DNS 서버 기타 정보 - 홈 에이전트 주소 , 디폴트 네임 DHCP Server - 67 / udp DHCP Client - 68 / udp Broadcast 주소 (255.255.255.255) DHCP Discover DHCP offer ---------- 클라이언트가 DHCP 서버를 찾을 때 ---------------- DHCP Request DHCP ACK DHCPv6 Server - 547 / udp DHCPv6 Client - 546 / udp muticast 주소 (ff02::1:2) 사전 파일 대입 공격 - xhydra ( GUI 툴 ) , hyd..

1. 공격 원리 ☞ TCP의 SYN 신호를 IP를 랜덤으로 설정하여 지속적으로 보내 공격 대상의 백 로그 큐를 고갈시키는 Dos 공격 방법 중 하나이다. TCP SYN 신호를 받은 서버가 클라이언트에게 SYN+ACK 신호를 보내면 클라이언트에게서 ACK 신호가 오기를 기다리는 'Half Open' 상태가 되고 백 로그 큐에 연결이 저장된다. 일정 시간이 지나고 나서도 ACK 신호가 오지 않으면 연결이 초기화가 되는데 TCP SYN Flooding 공격은 사용하지 않는 ip를 랜덤하게 설정하여 지속적으로 상대 서버에게 SYN 신호를 보내고 ACK 를 보내지 않아 백 로그 큐가 꽉 차게 되어 더 이상 서비스를 하지 못하게 만든다. 2. 공격 실습 공격 대상(Linux) : 192.168.20.200 공격자(..

SSH 패킷 분석 - 종단이 아닌 이상 복호화를 못한다. - Diffie Hellman 알고리즘을 사용하여 키 교환을 함 - 복호화가 잘 안되는 방식으로 만들어졌다. - HTTPs , SMTPs , POP3s , IMAPs 은 전부 ssl/tls 를 기반으로 만들어졌다. 따라서 이러한 암호화된 패킷을 분석해 달라고 요청이 왔을 때 복호화를 해야 분석할 수 있기 때문에 키를 상대편에서 달라고 해야 한다. ping 테스트 했는데 ping이 안된다고 죽어있는 아니다. - 보안장비가 막고 있는 경우 - 서버에서 ping을 막고 있는 경우 대안 - nmap && hping3 CMD hping3 -> Dos/DDos 공격에 유리 , 새로운 패킷을 생성할 수 있다. hping3 hping3 - 여러가지 프로토콜들을 ..