Code1018

(정적으로 바꾼 화면)

탐지 하는 법
1.서로다른 IP에 대해 중복되는 맥주소가 있을 때
2. 대량의 ARP 패킷이 탐지 될 때

Layer 3에 대한 이해
 - 어떻게 IP헤더만을 가지고 다른 네트워크와 통신이 가능한가?
 - 이더넷헤더 + IP 헤더
 
 - ICMP (Internet Control Message Protocol)
 - 네트워크상에 오류를 제어하기 위한 목적
 - 요즘엔 효율성은 별로 없는데 취약점들이 너무많아서
   ping정도만 사용된다.

ICMP - 오류상황 전달, 서버와의 시간 동기화 등
       많은 타입의 ICMP가 있다.


ICMP 공통헤더
 - type(1) : ICMP 패킷의 타입
 - code(1) : ICMP 패킷타입의 세부 정보
 - checksum(2)

ICMP 타입에 따른 헤더

- ping : Echo Request(8번) (ICMP의 한 종류다.)
서버입장에서 ping을 차단시키는 경우도 있다.
(공격으로 이용할 수 있기 때문이다.)

원래 용도는 상대와 통신이 잘되는지 테스트하는 용도다.

우리는 ping 패킷을 만들어볼 것이다.

(ICMP 패킷을 생성한 코드)

(출력해보면 헤더가 잘 만들어졌음을 확인 할 수 있다.)

type : 8번
 identifier(2)
 sequence number(2)    
 payload(?) - 정하기 나름이다. 여기 들어있는 데이터 그대로 응답이 온다.
      - 별 의미는 없다. ping의 크기를 조절하기 위한 것이다.

(ping 메세지 테스트를 위해 수정한 코드)

(ping을 보내고 응답을 받은 것을 확인할 수 있다.)

(cmd 창에서 ping 메세지를 사용해서 확인한 결과)

- 응답이 오는것을 확인 할 수 있다.

* IP Spoofing (L3에서 할 수 있는 공격)
 - IP값을 변조
 - 0ffset, IP 주소 등등

다음 주 부터는 IP에 관한 내용을 살펴보고
L4부터 취약점을 파악해보겠다.

(패킷 필터 결과화면)

위 화면은 python sniffer.py -p arp -s 192.168.3.18 -d 192.168.167 로 실행시킨 것이다.

옵션에 맞게 정상적으로 출력되는 것을 확인 할 수 있다.

이제 스니퍼 프로그램을 만드는데 있어서
패킷덤프 프로그램도 우리가 보기 편하게 만들었고,
ARP spoofing 할 수 있는 프로그램도 만들었다.

상대방의 패킷을 보려면, 스니핑을 하려면 지금까지 만든거로는 조금 부족하다.
왜냐하면
상대가 스니핑 당하는 것을 알아차리기 때문이다.

우리가 포워딩을 안해주기 때문에 상대 호스트는 나에게 패킷을 전송하고 있다.
그리고 그 결과를 못받고 있는 상황이다.
그러기 때문에 통신이 끊기게 되고 피해자는 알아차리게 된다.
더군다나 통신이 안되기 때문에 스니핑 할 수 있는 자료도 RST 패킷 , SYN 패킷등 이런거 밖에 볼수 없다.

(SYN, RST 패킷밖에 안보인다.)

 위 결과 화면은 상대 호스트 ARP 테이블에서 게이트웨이를 스푸핑한 상태이다.
상대 호스트는 게이트웨이가 내 컴퓨터의 주소인 줄 알고 나에게 보내는 상황이다.

하지만 그에 대한 응답이 안오고 있다. ( 이유는 내가 지금 포워딩을 안해주고 있기 때문에 )


이렇듯, 포워딩을 해줘야 완벽한 스니핑을 할 수 있게 된다.

포워딩이란 상대 호스트의 패킷이 원래 가던 길로 내가 다시 보내줘야된다는 뜻이다.
정확한 뜻은 패킷이 목적지 까지 도착하도록 올바른 길로 보내는 것을 포워딩이라고 한다.

그렇기 때문에 들어온 패킷을 원래 보내려던 목적지 호스트의 맥주소를 참조해서 패킷을 새로 만들고 보내 줘야한다.
목적지 호스트의 맥주소를 알기 위해서 우리는 ARP 테이블을 사용할 것이다.
(우리의 ARP 테이블에 목적지가 있다고 가정했다.)

우리는 이 기능들을 subprocess 모듈을 이용해서 구현할 수 있다.

(subprocess)

subprocess에서 arp -a 명령어로 ARP 테이블을 확인 할 수 있는 화면이다.

(맥 주소를 구해내는 코드)

우리는 위의 방법으로 arp 테이블에서 목적지 호스트의 맥주소를 참조할 것이다.

(포워딩 부분 코드)

위의 코드로 생성을 했다.

하지만 여기서 문제가 있었다.
상대호스트에게 ARP 스푸핑을 하는데
내 컴퓨터의 ARP 테이블에도 영향이 간다는 것이다..

그래서 완벽하게 스니핑 프로그램을 완성하지 못했다.

지금 마주한 문제를 곰곰히 생각해봐야겠다.

(파일 복사 코드)

(복사된 화면)

(ipconfig /all 옵션)

ipconfig 뒤에 붙는 옵션처럼
원하는 필터링의 옵션을 추가할 것이다.

스니핑 프로그램을 제대로 만들기 위해
먼저 패킷덤프 프로그램을 쓸모있게 만드는게 필요하다.

필요한 인자를 받아서 옵션을 만들것이다.
-> sys, optionparse  모듈이 파이썬에 이미 있다.
우리는 이것을 이용할 것이다.

(확장된 공격)

이 코드는
보내는 사람의 소스 IP주소까지 변조하는 코드이다.
for문을 사용해서 192.168.3.0 부터 192.168.3.49 까지 한번에 쓰레기 값을 입력하는 것이다.

(공격받은 모습)

(공격받은 모습)

ARP 패킷을 하나씩만 보냈기 때문에 이 증상은 조금후 조금씩 회복된다.
하지만 while 문으로 꾸준하게 보내주게 되면
이 컴퓨터는 통신을 할 수 없는 상태에 빠지게 된다.

또 이것저것 바꿔보면서 실험해보았는데
이더넷 헤더의 맥주소는 바꿀 수 없었다.

(표시된 부분)

이더넷 헤더의 출발지 주소까지 변조하여 완전범죄를 꿈꾸었으나
이 헤더의 정보를 건드리면
컴퓨터에서 패킷이 전송되지 않는다.
우리는 ARP 데이터는 변조할 수 있다.

여기서 한가지 호기심이 더했다.

만약, 게이트웨이 ARP 테이블을 지금 위에서 한 확장된 ARP 캐쉬 Poisoning을 한다면
어떻게 될까??

(타겟의 IP주소를 게이트웨이 주소로 한 코드)

IP 주소 범우는 199까지 했다. 같은 네트워크에 200번 뒤도 있었지만
내 IP주소가 165번이었기 때문에 내 번호까지만 커버하는 IP 범위로 설정했다.

(공격 받은 후 상황)

게이트웨이로의 ping이 잘되다가 응답이 몇번 안된다.
하지만 이 현상은 오래 가지 않는다. (내가 while문으로 계속해서 돌리지 않았기 때문에)
내 컴퓨터는 게이트웨이의 주소를 ARP 과정을 거쳐 올바른 주소를 얻고
ping 메세지 아래 두개는 응답을 받은 것을 확인 할 수 있다.

(인터넷 멈춤 현상)

그리고 게이트웨이를 공격한 후에 인터넷 접속을 했더니 오래걸렸다.
이는 아까 위에서 본거 같이 ping메세지도 처음 두 메세지는 응답하지 못했지만
나중에 다시 ARP과정을 거쳐 메세지를 받았듯이
인터넷도 원래는 바로 켜졌는데, 시간이 조금 지난 후에 접속이 가능하였다.

여기서 만약 내가 while 문으로 계속 돌렸다면
네트워크는 동작하지 않았을 것이다.

또 위에서 확인해 보았듯이 이더넷 헤더는 변조가 안된다...
패킷을 덤프해서 확인해보니
내 맥주소가 나온다

(Thread를 상속받아 클래스를 만들었다.)

(쓰레드를 생성하고 시작.)

위 코드에서 보는 것과 같이 쓰레드를 이용하려면
Thread 라는 클래스를 상속받아야 한다.
또 Thread를 상속받은 클래스 내에서 run이라는 메소드를 오버라이드 해야한다.

이렇게 만든 클래스를 생성하여 .start()코드로
run() 메소드를 동작시킨다.

위 코드는 st1 클래스의 run과 st2클래스의 run이 동시에 돌아가는 것이다.

만약,
다른 클래스를 상속받는 클래스를 쓰레드로 이용하려면 어떻게해야할까?
위에서 봤듯이 쓰레드를 이용하려면 Thread를 상속받아야한다.
자바에서는 다중상속이 안되기 때문에 다른 방법이 필요하다.
바로 인터페이스로 구현하는 것이다.

(Runnable 인터페이스를 상속받는 코드)

위에서 보듯 Runnable 인터페이스를 상속 받으면 된다. 그리고 run() 을 꼭 채워줘야한다. start()함수로 run()이 실행되기 때문이다.

(생성한 클래스를 Thread 클래스의 인자로 넘긴다.)

위에서 보듯 Runnable 인터페이스를 상속받은 클래스는
실행하려면 결국 Thread 클래스로 돌아가야한다.
다중상속의 기능을 위해 우리는 Runnable 인터페이스를 상속시켜서
그 클래스 인자를 Thread 클래스의 인자로 넘겨서 사용했다.

쓰레드는 우선순위를 가지고 있다.
아래 코드를 실행시켜보면 우선순위에 대한 이해가 될 것이다.

(우선순위 확인 코드)

* 동기화
- 위에서 말했듯이 쓰레드는 각자 독립적으로 실행이된다.
그렇기 때문에 다른 애들이 어떻게 일하는지 신경안쓰고 혼자 신나게 동작한다.

하지만 코드를 작성하는 우리 입장에서는
쓰레드끼리 서로 합이 맞길 바란다.
아래 처럼

(비동기화된 코드)

(실행결과)

결과를 보면 실행 메인코드는 첨부하지 않았지만 300,000,000이 출력되야한다. 하지만 실행한 쓰레드들이 각자 동작하다보니 요상한 값이 출력된 것이다.

동기화 시키는 방법은 간단히 synchronized 메서드를 이용하면 된다.

(동기화 된 코드)

(실행 결과)

(패킷 생성 코드)

가운데 주석 표시해 둔 곳에
내용에 맞는 패킷을 작성하면 된다.

(패킷 내용을 작성한 코드)

(실행해서 덤프받은 화면)

위 화면은 ARP 패킷을 전송한 것을 덤프받아서 확인한 결과이다.

아래 바로 ARP 응답 패킷또한 확인 할 수 있다.
ARP 응답은 Operation이 2이다.


ARP 패킷을 만들어서 전송하면서 발견한 취약점.

* ARP 패킷을 받으면 그 받은 host는 그 내용을 무조건 신뢰하며
그 데이터에 따라 자기 캐쉬 테이블을 업데이트한다.

우리가 패킷 내용을 작성해서 보냈지만,
솔직하게 데이터를 쓰지 않을 수도 있는것 아닐까?
그렇게 되면 상대 host의 ARP 테이블은 어떻게 될까?

(나의 맥주소를 77:77:77:77:77:77 이라고 속인 코드)

이렇게 ARP 패킷을 스푸핑했다.
스푸핑 -> 속이다.

옆 사람이 내 컴퓨터로 ARP 패킷을 조작해서 보낸 결과는 다음과 같다.

(아래에 192.168.3.239 주소 맥주소)

192.168.3.239의 맥주소를 보면 이상하다.
aa-bb-cc-dd-ee-ff 라니?...

게다가 하면서 더 요상한걸 발견했다.

ARP 패킷을 보내는데
IP주소도 변조해서 보낸다면?...

(엉망이된 나의 ARP 테이블)

위 화면을 보면 요상한 맥주소들이 등록되어있다.
이 경우 아주 착하게도 맥주소가 잘못된것을 바로 알기 쉽지만
보통 일반적인쓰레기맥주소를 입력한다면 구별하기 힘들것이다.

또 이로 인해 네트워크 통신에 문제가 생길 수 있다.

바로 이렇게 ARP 테이블을 망쳐놓는다 해서
이 공격이름은 ARP Cache Poisoning 이라고 한다.