스니핑 1
스니핑이란?
네트워크 상에서 자신을 목적으로 하지 않는 패킷을 탐지하는 행위
- 프러미스큐어스 모드(Promiscuous mode)
- 랜카드가 자신이 목적지가 아닌 패킷을 상위 레이어로 전송하는 모드
- 유닉스는 OS 레벨에서 제공한다
- 고가용성 패킷 스니핑 장비는 네트워크 감시와 분석을 위해서 사용된다.
이더넷에서 통신을 할 때 어떻게 데이터를 전송하길래 스니핑이 가능할까?
ㅍ
TCP DUMP를 이용한 스니핑 실습
tcpdump를 이용해서 공격자 linux에서 패킷 스니핑을 실행한다
tcpdump -xX -i ens32 tcp port 23 and host 192.168.11.173 > 11.173그리고 173 (Telnet 서버)로 174(xp)에서 telnet으로 접속해 아이디와 비밀번호를 입력해서 접속을 시도하는 과정을 와이어 샤크로 패킷을 잡아본다
이미지 하단 Data 항목을 보면 Password:가 있는데 저 다음 패킷에는 내가 입력한 암호가 다 드러나있었다
telnet은 암호화 통신이 아니기 때문에 이렇게 패킷을 캡처해보면 평문의 내용이 적나라하게 다 보인다
Dsniff
설치
yum install -y dsniff
trouble shooting
Epel에서 패키지가 제공되지만 Public Key 문제로 설치되지 않을 수 있다.
• /etc/yum.repos.d/epel.repo 파일 내에 설정을 변경한다. gpgcheck=1 -> gpgcheck=0으로 수정
ARP 리다이렉트
실습
arp 리다이렉트 실습을 하기전에 fragrouter를 먼저 설치해야한다.
fragrouter는 스니핑을 보조하는 도구인데 스니핑에 의해 패킷이 목적지에 도달하지 못하는 상황을 방지한다.
Fragrouter 설치
wget https://launchpad.net/ubuntu/+archive/primary/+sourcefiles/fragrouter/1.6-2.2/fragrouter_1.6.orig.tar.gz
tar xvfz 명령어로 압축을 풀어준다
압축 해제했으면 압축 해제한 폴더로 이동한뒤
./configureㄱㄱ
그다음 make
make install (안 해줘도 사용은 가능하다)
설치된 fragrouter의 정상 작동을 확인해본다
# fragrouter –B1
잘 작동하는군
준비는 끝났다 이제 arp 리다이렉트 실습을 시작해보자
실습 환경 개요
공격자(본인 Linux centOS 7 192.168.10.172)
대상 (김정X씨 win xp 192.168.10.129)
라우터 (Gateway 192.168.10.1)
※dsniff에는 arpspoof가 내장되어있다.
arp -a 명령어로 라우팅 컴퓨터의 맥주소를 확인한다 (미리 ping으로 주소 확보해놓음)
패킷의 포워딩을 위해 fragrouter를 실행한다.
# fragrouter –B1
arpspoof를 이용 arp 리다이렉트 공격을 실행한다.
# arpspoof -i ens32 -t 192.168.10.129 192.168.10.1
된다
공격 대상 시스템의 arp 테이블을 확인한다.
공격자 172와 라우팅의 맥주소가 일치되도록 나오면 성공이다.
와이어 샤크로 패킷 캡처해보면 공격자가 지속적으로 희생자에게 게이트웨이 대신 reply를 날리는 패킷을 확인할 수 있었다