37일차 DHCP Spoofing(2) , Sniffing Attack

* 본 게시물의 내용은 수업에서 배운 것을 정리한 것이므로 악용해서는 안됩니다.

  게시된 내용들은 잘 알려져있는 기술들입니다. 따라서  악용하더라도 쉽게 적발되니

  절대 악용해서는 안됩니다.

-------------------------------------------------------------------------------------------------

36일차에 DHCP SPoofing도 살펴 봤다.

방어책으로는 DHCP Snooping이 있다.

* DHCP Snooping

스위치에서 설정하는 것인데,

어떤 포트를 이용해서 DHCP 응답에 대한 처리를 할 것인지 제약을 할 수 있다.

그 포트를 Trusted port라고 한다.

Untrusted port로 설정된 포트로 들어 오는 것은 다 차단된다.

* DHCP Starvation Attack

DHCP가 관리하는 자원을 전부 고갈 시키는 공격이다.

DHCP 서비를 대상한 DOS 공격이다.

서버는 IP와 맥주소를 매칭시켜서 구분하기 때문에 이를 이용한다.

맥주소를 계속 변경해서 Discover 메시지와 Request 메시지를 보낸다.

IP주소를 다 받아와도 , 계속 보낸다. 대여기간이 있기 때문에, DOS 공격에 충실한다.

DHCP Spoofing 공격에 앞서 먼저 수행하면, 더 효과가 있겠다.

[DHCP Starvation 실습]

1. XP에서 ipconfig /release 한 상태에서 종료한다.

2. DHCP 서버에서 할당한 IP가 있는지 확인한다.

만약 할당된게 있다면은 clear ip dhcp binding * 으로 지워준다.

3. Backtrack에서

cd /pentest/enumeration/irpas/

ls -l dhcpx 로 확인

./dhcpx -vv -i eth4 -A -t 10 입력

계속 요청하게된다.

도중에 확인한 모습이다.

계속 하고있다.

다 받아온 것을 확인 한 후에 XP를 부팅한다.

그리고 ipconfig /renew로 IP를 재할당 요청한다.

할당받지 못하는 모습이 확인이 된다.

169.254.0.0/16 은 APIPA 이다.

이것이 셋팅 됐다는 이유는 두가지다.

1. DHCP IP를 받아야하는 못받았을 때

2. 고정아이피를 줬는데, 충돌이 날 때

실제로는 yersinia 툴을 사용한다.

[yersinia 툴로 실습]

1. 일단 dhcp binding 클리어

2.  backtrack에서 yersinia -G

해보면 훨씬 빠른 것이 체감된다.

툴은 매우 진화해서, 실제 출발하는 mac 주소와 dhcp 프로토콜 안에 있는 mac를 맞춰서보낸다.

때문에 port security 라는 스위치 보안 기술을 사용한다.

cisco 장비에 한해서만 사용 가능한데,

스위치에 스위치2가 물려 있고 그 스위치2에 20대가 물려있으면 그 포트에 20대가 있는 것이다.

따라서 포트하나에 mac 주소 최대 개수를 제한하면 어느정도 DHCP Starvation 공격을 제한 할 수 있다.

#####################

* DNS Spoofing Attack

공격자가 DNS 서비스를 가지고 있지 않아도 할  수 있다.

[시나리오]

1. MITM 상태를 만듬.

2. 모니터링을 함.

3. DNS 서버보다 먼저 질의에 대한 응답을 한다.

[실습]

1. fragrouter -B1 로 포워딩

2. ARP Spoofing 로 공격자를 GW로 속인다.

3. dnspoof -f <파일명> 으로 위조된 결과를 reply를 한다.

변조 시킨 모습.

정상적인 DNS 서버와 공격자에게서 온 패킷이 보인다.

물론 출발지주소는 정상적인 DNS인 것처럼 속인다.

맥주소를 보면 알 수 있겠다.

UDP라 신뢰성이 떨어지기 때문에 공격에도 두번을 보내는 것이다.

* Sniffing Attack

훔쳐 듣는 것

요즘은 MAC 테이블을 꽉채워도 알아서 지우기 때문에 되지 않는다.

= ARP Spoofing

* ICMP Redirect

이게 켜져있으면 공격이 가능한 상황이 되겠다.

위치는 여기서.

공격을 해보기 위해서 잠시 켜두고

route print 로 정상적인 라우팅테이블을 먼저 확인.

Backtrack 에서 apt-get install icmpush 명령어로 설치해준다.

만약 안되면

sources.list

replace

/etc/resolv.conf에서 네임서버 8.8.8.8로 바꾸기

apt-get update

후 다시 apt-get install icmpush

icmpush -h 로 도움말 확인이 가능하면 설치완료~

-sp 는 속일 주소, 출발지 주소 (게이트 웨이)

-gw 는 여기로 가라는 주소 ( 공격자 ip)

-dest 는 sniffing하고자 하는 목적지 주소

-c icmp code (그냥 붙여주면됨)

-vv는 진행과정

10.10.10.1아 , 나 10.10.10.254인데 8.8.8.8 갈때 10.10.10.3 으로 가

타겟 대상의 라우팅테이블에 추가가 된다.

 맥을 보고 자신의 맥이 아닌데도 답장이 오면 Promiscuous Mode를 사용 중 즉 스니핑 중인 것으로 의심할 수 있다.

[실습]

1. xp에서  C:\에 arping.zip 압축풀기

arping.zip

2. xp에서 wireshark로 패킷 잡기 / filter:arp

스니핑 안하고 있으므로, 응답이 안온다.

Backtrack에서 wireshark 만 켜도

응답이 온다.

PromiScan 툴을 사용해서 대역대 상대로 할 수도 있다.

IP에는 현재 쓰고 있지 않은 IP중 하나 입력

저 칸중에서 X가 많이 있는 IP가 제일 용의자다.

지금 10.10.10.3이 백트랙이니까 잘 찾아낸 것 같다.

*  Sniffing 방어책