'Network Security' 카테고리의 글 목록

Network Security

LAN Attack 2022.10.18
Network Scanning Attack 2022.10.18

LAN Attack

Box Maker 2022. 10. 18. 23:16

2022. 10. 18. 23:16

1. LAN Attack

- LAN 범위 내에서 수행될 수 있는 공격에 한정하여 OSI 7 Layer 중 2 계층에서 이루어지는 공격

1) 주요 공격

- ARP를 이용한 MITM(Man In The Middle) 공격

: 통신하는 두 단말 사이에 중간자가 침입하여 양단의 통신을 도청하거나 조작

- STP(Spanning Tree Protocol) 공격

: STP를 이용하여 스위치의 연결 흐름을 제어하여 악의적인 목적의 스위치로의 연결을 전환 가능

- MAC Spoofing 공격

: 연결되어 있는 MAC주소를 변조하는 공격

- CAM(Control Addressable Memory) 테이블 오버플로우

: 저장된 테이블 수가 다량이면 정상적인 연결이 새로 들어올 경우 이미 잡혀있는 메모리의 한계가 존재하기 때문에 정상 연결이 불가하도록 하는 DOS유형의 공격

-DHCP Starvation 공격

: DHCP 서버에 DOS 공격을 수행하여 새로운 클라이언트가 IP를 자동으로 할당받지 않도록 하는 공격

2. ARP Spoofing 공격

1) ARP Spoofing

- LAN 환경에서 중간자 공격에 사용 되는 기술

2) ARP Spoofing 실습

1. 환경구성

공격자: kali linux(10.200.57.15), 피해 서버:centOS7(10.200.57.18), 피해 클라이언트: centOS6(10.200.57.17)

공격자가 위 명령어로 피해서버와 클라이언트에 ARP Spoofing 공격으로 MAC 주소를 변경한다

네트워크 연결을 위한 포워딩을 해준다

피해 클라이언트PC에선 ARP Spoofing 공격으로 인해 피해 서버와 공격자의 MAC 주소가 동일하게 보인다

피해 서버에서도 ARP Spoofing 공격으로 인해 피해 클라이언트와 공격자의 MAC주소가 동일하게 보인다

피해 클라이언트가 피해서버로 4000 포트를 통해 netcat 통신을 한다

피해서버에서도 4000 포트를 열고 netcat통신을 받아들인 후 test라는 문구를 입력하여 피해 클라이언트로 보낸다

공격자가 wireshark를 열어 4000포트로 통신한 패킷을 검색하여 아무거나 선택 후 마우스 오른쪽 버튼-> Follow->tcp stream을 클릭하면 오른쪽과 같이 피해 클라이언트와 피해 서버가 통신한 내용을 훔쳐볼 수 있다

'Network Security' 카테고리의 다른 글

Network Scanning Attack (0)	2022.10.18

Network Scanning Attack

Box Maker 2022. 10. 18. 21:54

2022. 10. 18. 21:54

1. 네트워크 스캐닝 절차

활동범위 결정 - 네트워크 목록 수집 - DNS 질의 - 네트워크 정찰

1) 활동범위 결정

어느 범위까지 스캔을 수행할지 결정한다

2) 네트워크 목록 수집

kali linux의 nmap으로 네트워크 목록을 스캔한다

3) DNS 질의

1. nslookup 명령으로 네임서버를 통해 해당 도메인의 IP를 찾아준다

ex) nslookup 도메인명

2. dig: nslookup에 대비 유연성 및 편의성, 출력의 명료성을 가진 DNS 쿼리 도구

ex) dig 도메인명

3. dnshistory.org 사이트에서 도메인 레코드 정보가 조회 가능하다

4) 네트워크 정찰

tracert 명령어로 해당IP주소 경로 추적

tracert(Window)

traceroute(Linux)

2. 네트워크 스캐닝 종류

- Ping & ICMP 스캔

- 오픈 스캔(Open Scan)

: TCP 3-Way-Handshake를 이용해 정상적인 연결을 바탕으로 Open 된 포트 정보를 추출

- 하프-오픈 스캔(Half-Open Scan)

: TCP 3-Way-Handshake 방식의 연결을 비정상적으로 종료 하는 방식

- 스텔스 스캔(Stealth Scan)

: 세션을 완전히 성립하지 않고 공격대상 시스템의 포트 활성화 여부를 알아내는 스캔

1) X-MAS 스캔

2) ACK or FIn 스캔

3) NULL 스캔

- UDP스캔

3. 네트워크 스캐닝 실습

1) 활성화된 host 검색

스캔한 네트워크 대역중 2, 17, 18이 열려있다

2) TOP5 포트 스캐닝

일반적으로 제일 많이 사용하는 포트 5개를 ClientPC에다 스캔하니 위와 같은 결과가 나왔다

3) Ping & ICMP 스캔

- 리눅스와 윈도우의 ttl값이 다르므로 아래와 같이 ping을 보내 OS를 추측할 수 있다 하지만 ttl값을 변경했을 수도 있기 때문에 100% 확신할수는 없다

리눅스로 ping을 보낼 시 ttl=64

윈도우로 ping을 보낼 시 ttl=128

4. 네트워크 스캐닝 대응 방안

- 네트워크 장비에 의한 필터링

- 서버에서 실행중인 불필요한 서비스 중지

- IDS 및 IPS 연동

'Network Security' 카테고리의 다른 글

LAN Attack (0)	2022.10.18

PREV 이전 1 NEXT 다음

HackBox