Code1018

13번 문제이다. 이 또한 네트워크 관련 문제이다! :)
(문제에 나와있는데, 내 생각엔 이게 결정적인 힌트지 않았을까 싶다.)

문제화면이다.

(문제 화면)

다운로드를 클릭한다.

(다운로드!)

하니..!
pcap 파일이라고 뜨지 않고 그냥 파일이라고 뜬다..!
?.?
?.??

(다운파일)

HxD로 열어보니 pcap 시그니쳐랑 똑같다. (뭐야..)
와이어샤크로 열어보았다.

열렸다. (뭐야...)

(덤프패킷)

(필터링 http)

(png 파일)

(???)

끝이 조금 이상하다..?
png 파일의 끝 형식이 아니다.

패킷을 보니 teasure라고 써있던데 3개로 쪼개져서 보내졌던거 같다.
HxD로 세 패킷의 데이터를 덤프해서 이어주면
png 파일이 된다.

(리커버리!)

(답)

답이 나온다!

이걸 무턱대고 답칸에 적으면 오답이 나온다.
(나도 그랬다)

문제를 잘 보면
md5로 해쉬한 값을 입력하라고 나와있다.
md5는 해쉬알고리즘 중 하나이다.

인터넷에 md5 암호화 검색하면 사이트 많이 나오니까
거기서 암호화를 한 후 
답 입력하면
통과 :)

네트워크 패킷 분석 문제를 조금 더 풀어보고 싶어서
이곳저곳 찾다가 찾은 사이트 xcz.kr 이다.
재밌는 형식의 워게임들이 있다.

여기에 있는 문제들도 풀어야겠다 :)

다른 문제보다 17번문제 네트워크 관련을 풀어보았다.

(문제화면)

상황은
패스워드를 잃어버렸다
패스워드를 찾으라~ 라는 문제다
뭘까!
일단 다운로드!

(다운로드 클릭)

다운받아보니 패킷 덤프 파일이다!
(내가 찾던 문제!)
(하지만 생각보다 쉬워서... 쉬우니 이 문제는 직접 풀어보세요 :) )

(문제)

이 덤프 파일에 ID와 패스워드가 있다는 말이다.
로그인을 하거나 회원가입 어쨋든 인터넷을 이용했을 테니
http 통신을 먼저 살펴봐야한다.
패킷 필터링으로 http

(http 패킷 필터링)

패킷 내용들을 보니 join_ok와 통신한 내용들이 보인다.
join 회원가입을 한 흔적이므로 이 패킷을 살펴보았다.

(회원가입 패킷)

패킷 내용은 HTTP Stream으로 확인하였다.

(HTTP Stream 클릭)

내용을 살펴보니..!
아이디와 비밀번호, 이메일 정보가 들어있다.

(패킷 내용)

잘보니 우리가 원하는 id가 아니라는 것을 알 수 있다.
우리가 원하는 아이디는 zzang 어쩌구다.

회원가입 페이지 패킷을 살펴서 찾았다.

(정답 패킷내용)

우리가 원하는 패스워드를 찾았다.

:)

오늘은 취약점 스캐너 툴을 이용해 볼 것이다.

* 취약점 스캐너
 - nesus scanner
  : nesus는 nesus server를 이용해 취약점을 스캔한다.
  : 여러사용자가 nesus server를 이용해 취약점을 분석할 수 있다.
  : 이제 우리는 nesus server를 리눅스에 설치할 것이다.
  : 무료로 제공되는 취약점 점검 도구중에 가장 유명하다.

Nessus 스캐너는 다른 스캐너와 조금 다르다.
Nessus 서버를 만든 후 그 서버가 스캔을 하고 호스트에 결과를 알려주는 식이다.
Nessus 서버를 다른 호스트들이 이용할 수 있다.

만들어두었던 리눅스에 Nessus 서버를 설치할 것이다.

(Nessus 서버 설치)

Nessus 서버를 실행시켜 준다.

(Nessus 서버 실행)

실행되었고 8834번 포트가 열려있는 것을 확인 할 수 있다.

호스트에서 이 서버에 접속해서 사용해야한다.
window 호스트에서
https:서버아이피:8834 로 접속한다.
안전하지 않음으로 뜨는 것은 해당 브라우저가 해당 인증서가 없기 때문에
안전하지 않다고 뜨는 것일 뿐이다.

(컨티뉴 클릭)

Continue를 클릭하고
계정을 만들어야한다.
간단하게 admin으로 설정했다.

(계정설정)

그리고 Activation Code를 받아야한다.
그러기 위해서는 등록해야한다.

(Activataion 코드 입력창)

홈페이지에 들어간다!

(Get an activation 클릭)

클릭하면 회원가입창이 나오고
회원가입을 하면
적은 email주소에 Activation 코드가 온다.
그 코드를 입력해주면 된다.

(Activation 코드 입력)

들어오면 처음 화면이 아래와 같다.
Scans, Polices 화면이 있다.

(Scans 화면)

(Policies 화면)

- Scans 에서는 스캔하는 화면이고
Policies에서는 직접 정책, 룰을 설정하는 곳이다.

Policies에서 Policy를 만들어보겠다.

(기본 정책들)

기본 룰 중 Basic Network Scan으로 클릭해서
이름 등을 설정해준다.

(TEST로 설정했다.)

(Policy 생성된 모습)

이렇게 설정된 TEST Policy로 스캔을 할 수 있다.
TEST 정책에 들어가보면
세부적인 설정을 할 수 있다.

(세부 설정 모습)

이제 스캔을 해보겠다.
New Scan을 누른다.

(New Scan)

아까 만들었던 정책을 이용해도 되고
기본적으로 설정되있던 정책을 사용해도 된다.
들어오면
스캔의 이름 타겟을 적는 페이지가 나온다.
Target에는 스캔을 할 대상을 입력하면 된다.

(스캔 입력)

Save를 누르면 스캔 목록이 나온다.
여기서 재생 버튼을 클릭하면 스캔을 시작한다.

(스캔 목록)

스캔을 하는 모습이다.
다 되면 결과가 정리되서 나오지만 실시간으로도 볼 수 있다.

(분석 화면)

취약점의 심각성정도에 따라 표시도 다르게 나온다.
치명적이거나 심각한 취약점은 표시가 되어서 나온다.

(취약점 분석 화면)

추가적인 Open Source Scanner
 - GIMP
 - SAINT
 - Nikto
이런 것들이 있다. :)

* HTTP 패킷의 구조에서
Body가 존재하면 헤더에는
content-type
content size 이 반드시 있어야한다.

HTTP 패킷을 전송해볼 것이다.

HTTP는 TCP 위에서 동작하는 것이다.
이 때 좋은 툴이 있다. NetCat이라는 프로그램이다.
이 프로그램은 TCP 통신을 하는 프로그램이다.

* NetCat
 - telnet과 유사한 프로그램
 - TCP 통신을 할 수 있는 프로그램

1. 리눅스용
 - nmap 패키지에 포함
 - ncat
 - 서버로 실행 가능
 - 클라이언트로 실행 가능

2. 윈도우즈용
 - netcat
 - nc.exe
- 내용은 리눅스용과 같다.

NetCat을 설치할 것이다.
리눅스에서 ncat은 nmap 패키지에 포함되어있으므로 nmap을 설치해준다.

(nmap 설치)

ncat의 옵션을 확인해본다.

(ncat 옵션)

ncat으로 10000번 포트를 listen 상태로 열어둔다.

(10000번 포트 개방)

호스트에서 접속을 해볼 것이다.
윈도우에서는 nc.exe로 실행한다. 뒤에 IP주소와 포트번호를 적어주면 연결이된다.

(연결된 모습)

(리눅스 모습)

텍스트를 주고받을 수 있는 모습을 볼 수 있다.

netcat으로 http 통신을 확인해볼 것이다.
* 네이버에 페이지 요청을 하는 request패킷을 전송해볼것이다!

netcat을 이용해서 아래의 패킷을 보낼것이다. \r\n   캐리지리턴이 꼭 들어가야한다.
한줄 띤것까지 복사해서 보내본다.
-----------------------
GET / HTTP/1.1
Host: www.naver.com

-----------------------

(naver.com 연결)

(http 응답)

http의 웹 코드를 받은 것을 확인할 수 있다.

이제부터 실습을 naver.com에 직접하기는 조금 그러니
http 웹 서버를 리눅스에서 설치해서 그 페이지를 대상으로 패킷을 주고받아 볼 것이다.

리눅스에서 httpd를 설치한다.

(httpd 설치된 모습)

설치된 httpd에서 기본 설정된 페이지는 /var/www/html  에 들어있다.
여기에 기본 페이지 index.html을 만들어줄것이다.

(기본페이지 경로)

(간단한 페이지 작성)

페이지까지 작성을 했으면
웹서버를 실행시켜준다.

(웹서버 실행)

이제 호스트에서 인터넷 브라우저로 접속해본다.

(실험 타겟 페이지)

페이지가 잘 나온 것을 확인할 수 있다.

ncat을 이용해서 아까와 똑같이 get요청을 하여
응답을 받아봤다. 

(응답 모습)

(와이어샤크 분석)

와이어 샤크로 본 모습도 추가했다. 위와같은 메세지를 주고받은 것을 확인 할 수 있다.


여기서 헤더에 구성을 살펴보면 헤더를 이용한 취약점을 발견할 수 있다.

* DDos
 - GET Flooding : 대량의 GET패킷을 보낸다. 서버의 부하를 높인다.
 - CC Attack
   ( CC : Cache Control )
 - GET Flooding은 CC Attack과 함께 같이 사용한다.
 헤더의 Cache-Control에 no cache 등으로 설정해서
 캐시를 쓰지 않겠다해서 서버에 부하를 더 높이기 위한 방법이다.
 
 - Slow attack
1) slowloris attack
 
 - 헤더의 끝을 포함하지 않은 상태로 요청
 - 서버에서는 헤더가 완전히 도착하지 않았다고
    간주하여 세션을 계속 열어둔 상태로 둔다.

2) slow read attack
 -> body가 있어야하기 때문에 GET으로는 못한다.
 - 메세지 Body를 이용한다.

slowloris 공격과 slow read 공격을 직접 해보겠다.

1) slowloris 공격
이 공격은 마지막 캐리지 리턴을 빼서 보내는 것이다. 그렇게 되면
서버는 아직 패킷이 다 오지 않은줄 알고 다음 패킷을 계속 기다린다.
원래 웹서버는 통신이 끝난후 바로 연결을 끊는다.(사용자가 많기 때문에)
하지만 이렇게 계속 열어두게 되면
이런 패킷들이 많다면? -> 서버는 다운될 수 밖에 없다.

파이썬으로 프로그램을 작성했다.

(slowloris 공격 코드)

코드를 보면 50초마다 fake 헤더를 보내주는데
이유는 웹서버가 기다리다가 끊으려고 할 때쯤
헤더인것처럼 하나 더 보내주면 서버는 ' 아! 아직 더 있었구나!' 하고 기다린다.
그러다 또 끊으려고 하다가 또! 아! 더있구나! 하고 이런식으로 계속 기다리게 하는것이다.

와이어샤크로 분석해보았다.

(디도스 공격 패킷)

(웹 서버 포트 창)

웹서버의 포트 상태를 확인하면 ESTABLISHED로 되어있다.
웹서버에서는 이 상태는 비정상적인 것이다. 왜냐하면 웹서버에서는 통신을 하고 바로 끊기 때문이다.
이런 상태로 계속, 여러개 수가 많아지면 웹서버는 부하가 엄청날 것이다.

2) slow read 공격
content-length 헤더를 엄청 크게 잡아준다.
그리고 body의 내용을 찔끔찔끔 보내주는 것이다.
그러면 웹서버의 입장에서는 계속 기다려줘야하는 상황이 발생한다.
이런 패킷들이 많다면
웹 서버는 다운되게 된다.
body를 포함해야하므로 post 메소드를 이용해 패킷을 전송한다.

(slow read 공격 코드)

(패킷 상태)

(공격받은 모습)

이 공격도 마찬가지로 established가 되어있음을 확인 할 수 있다.

* HTTP ( Hyper Text Transfer Protocol )
 - 웹(Web) 통신에서 사용되는 프로토콜

* HTTP 메세지 구조
(\ -> 역슬래쉬)

-기본
start line\r\n   (모든 메세지는 스타트라인 한줄을 가지고 있다.)
header-field\r\n (헤더필드는 여러개가 올 수 있다.)
header-field2\r\n
ex)
header-name: header-value\r\n
...
\r\n     (캐리지리턴이 나오면 헤더필더가 다 나왔다는 것이다.
message-body (있을 수도 있고 없을 수도 있다.)

1) HTTP request Message
 request line\r\n
 request-header\r\n
 ...
 \r\n
 message-body

(요청 request-line)

1.1) request-line  ( sp :스페이스(공백), 구분자 )
 
 method sp URI(URL) sp HTTP version\r\n
method 필드

(메소드)

(메소드)

URI Vs URL
- URI : Uniformed Resource Identifier (자원에 대한 식별자)
- URL : Uniformed Resource Location (자원에대한 위치)
         : 어떠한 경로에 있는지 정확하게 나와있다.

2) HTTP response Message
 status line\r\n
 response-header\r\n
 ...
 \r\n
 message-body

2.1) status-line ( sp :스페이스(공백), 구분자 )
 HTTP version (sp) status code (sp) reason phrase\r\n

- HTTP의 request-line과 status-line의 구조를 살펴보았다.

* FTP ( File Transfer Protocol )
 - vsftpd(vsftpd는 FTP서버 프로그램 중 하나이다.)
 - FTP command

* root 사용자 로그인 설정
 - 루트 사용자는 원격 로그인을 허용하지 않는 것이 좋다.
 - 일반 사용자로 사용하는것을 권장한다.

* FTP 사용자
1) 리눅스 사용자
 - 리눅스의 사용자와 FTP의 사용자는 동일하다.
 - FTP 서비스를 사용하려면 리눅스 시스템에 사용자 계정이 있어야한다.
 - 홈 디렉터리 : 사용자의 홈 디렉터리

2) 익명 사용자
 - anonymous
 - 패스워드 없이 FTP 서버에 접속이 가능하다.
 -   -A 옵션을 주고 접속한다. (커맨드창에서 접속)
 - 홈 디렉터리 : /var/ftp


* FTP가 데이터를 송/수신 하는 방법
1) Active Mode( 능동모드 )
 - port 21
  - 로그인 인증
  - FTP command전달
 - port 20 ( ftp-data port)
  - 파일 송/수신
  
 ---> PORT 192,168,3,149,246,88
 (해석) IP 192.168.3.149;  256*246 + 88 번 포트
 * 클라이언트는 PORT 명령어를 통하여 서버에게 데이터를 전달할 ip와 port번호를 전달
 * 윈도우에서는 능동모드만 가능하다.
 
 * RETR (이 파일을 전달해줘라!)
2) Passive Mode( 수동모드 )
 - port 21
  - 로그인 인증
  - FTP command 전달
 - port 1024번 이후 포트
  -> 데이터 전달
 ---> PASV
 - PASV 요청을 하면 서버에서 접속할 IP와 포트번호를 알려준다.

이 내용을 한번 직접 확인해보겠다.

먼저 vsftpd로 FTP서버를 실행해준다.

(서버 오픈)

오픈된 것으로 21번 포트가 열려있는 것을 확인 할 수 있다.

윈도우에서 직접 로그인을 해보겠다.
ftp (ftp서버 IP)
로 접속 할 수 있다.

(ftp 서버 접속)

이렇게 접속하면
리눅스 계정으로 접속 한 것이다.

익명 접속도 해보겠다.
익명 접속은 명령어 -A로 접속한다.

(익명 접속)

또, 인터넷브라우저로 접속 할 수 있다.

(브라우저 접속)

* 브라우저 접속은
익명 접속이다.

익명 접속은 /var/ftp/pub 폴더가 홈 디렉터리이다.

(홈 디렉터리 확인)

접속 하는 과정을
와이어샤크로 패킷을 캡쳐해 보았다.

(FTP 패킷)

FTP는 TCP 위에서 동작하므로
TCP의 3 hand shaking 과정을 그대로 가지고 있다.
(확인 가능하다.)

FTP접속할 때 -d 명령어로 디버깅하면서
어떤 명령어가 전달되는지 확인해보겠다.

(FTP 옵션)

(디버깅 접속)

접속 과정을 보니 USER 뒤에 한칸 띄우고 아이디를 입력해서 전송한다.
그리고 암호는 PASS 뒤에 한칸 띄우고 비밀번호를 입력해서 전송한다.

이 과정을 파이썬으로 만들어보겠다.
똑같은 과정으로 로그인 까지 해보는 프로그램을 만들것이다.

(로그인 코드)

(로그인 화면)

잘 접속된 것을 확인 할 수 있다.

이 과정을 진짜 FTP 클라이언트처럼 만들어보겠다.
입력을 받고 로그인 하는 것이다.

(FTP 클라이언트 코드)

(실행 화면)

실행 화면도 잘 이루어졌다.

이번엔 FTP에서 파일을 전송하는 과정을 살펴볼 것이다.

샘플로 아래의 파일을 전송해보겠다.

(sample)

(put 명령어)

파일 전송은
put 명령어를 통해서 이루어진다.

전송 후 서버에서 확인해보겠다.

(확인)

확인해보니
sample파일이 올라가 있는것이 보인다.

이번엔 서버에 있는 파일을 다운로드 받으면서
포트 개방상태를 확인해 보겠다.

(파일 다운로드)

다운로드는 get 명령어를 이용한다.
여기서 실제로 전달되는 명령어인
PORT 192,168,3,149,246,88 을 잘 봐야한다.
아이피 주소 192.168.3.149이고 뒤에 256*246 + 88 번의 포트번호로 전송하라는 명령이다.

(서버의 20번 포트가 열렸다.)

(포트번호 확인)

포트 번호도 계산한 것과 같이 63064번의 포트로 전달되었다.

이것은 능동모드로 20번 포트를 통해 데이터가 전달되는 것을 확인할 수 있다.

이번엔 수동모드를 프로그램으로 만들어서 확인해보겠다.
윈도우에서는 능동모드만 지원하기 때문이다.

수동모드를 확인하기 위해서는
데이터를 받을 프로그램을 따로 작성해야한다.

먼저, 수동모드를 만들어보기전에
능동모드를 구현하고 수동모드로 만들어보겠다.

(데이터 받는 코드)

(실행화면)

(포트 상태)

포트로는 9999를 선택해서 열어주었다. 이쪽으로 데이터가 들어올 것이다.
능동모드에서는 사용할 포트번호를 정해서 보내기 때문에
미리 열어둔 것이다.

(능동모드 코드)

(실행화면)

실행하면
데이터 받는 코드의 실행 화면에서 데이터가 출력되는 것을 확인 할 수 있다.

이번에는 수동모드를 만들어보겠다.

수동모드는 간단하게 PASV 명령만 보내면 알아서 사용할 포트번호를 정해서 보내준다.

(수동 모드)

그렇기 때문에
데이터를 받을 프로그램에 포트번호를 미리 적을 수 없다.
전송하고 부여받은 포트번호를 확인해서
입력해준다.

(포트번호 입력)

(결과 화면)

결과화면은
수동모드에서도 똑같이 데이터를 받을 수 있었다.

* TCP SYN Flooding 공격
 - 고전적인 DDOS, DOS 공격 기법
 - 아주 잘 알려진 공격기법이다.
 - 대량의 TCP SYN packet을 이용해서 타겟 서버의 서비스를 더이상 사용할 수 없도록
    만드는 공격 기법이다.

TCP SYN Flooding 공격툴 작성

1) TCP SYN Packet을 작성
 - SYN,ACK 패킷을 수신한 이후에 ACK를 보내지 않고,
    서버와 연결을 맺지 않는게 핵심이다.
2) 반복해서 서버에 요청
3) IP Spoofing까지 해주어야한다.

먼저 우리가 만든 ftp 서버를 열어준다.
우리가 이 서버로 공격을 할 것이다.

명령어 service vsftpd start

그 후 netstat -ant
21번 포트가 열려있는 것을 확인 할 수 있다.

(서버 오픈)

SYN 패킷 전송하는 프로그램은
우리가 전에 TCP Half Scan에서 만들었던 것을 이용할 것이다.

아래 코드는
조금 수정한 코드다.
목적지 포트번호를 21번으로 맞춘다. 

(코드)

이렇게 만든후 패킷을 보내보았다.
와이어샤크에서 패킷을 확인해보았다.

(패킷 캡쳐)

(SYN_RECV)

서버 입장에서
SYN_RECV 상태로 바뀌었다. 패킷이 접수되고 Established로 넘어가지 않은 것은
내가 ACK 응답을 안보냈기 때문에
이 상태가 유지되는 것이다.
이 상태를 더 만들어주기위해
다른 패킷들을 보내는 것이다.

패킷을 반복적으로 보내주었다.
와이어샤크로 그 상황을 캡쳐했다.

(캡쳐 상황)

(결과 화면)

-> 이러한 여러 상태들이 만들어지지 않았다.
??
이유는 IP 하나에 하나씩 연결된다.
그렇기 때문에
IP 스푸핑을 해주어서 여러 IP주소로 보내줄 것이다.

IP를 랜덤으로 보내주기 위해서
random모듈을 이용할 것이다.

random.randrange를 이용해서
랜덤수를 이용할 것이다.

(random.range() 테스트)

랜덤모듈을 이용해서
난수를 뽑는 모습이다.

(IP스푸핑 코드)

IP스푸핑을 위해 a,b,c,d 에 랜덤수를 생성해서
출발지 IP주소에 넣어주었다.
그리고 체크섬을 다시 계산해야해서
반복문 안에 빼서 넣어주었다.

실행한 결과
서버의 모습이다.

(피해모습)

(피해모습)

피해모습을 보면 수많은 SYN_RECV 상태로 여러 수많이 남아있는 모습이다.

Dos 로는 여기까지지만
DDos를 이용하면 서버를 다운시킬 수 있다.
:)

(가짜 사이트)

이 사이트로 유도할 것이다.

어제까지 만들었던 것에서 DNS 데이터의 모양을 확인해보겠다.

(이전까지 만들었던 코드)

(DNS 패킷 전송)

(데이터 출력 화면)

여기서 우리는 출발지 주소와 목적지 주소를 교환해서 입력해줄 것이다.
또
DNS 응답 내용을 채워서 보낼 것이다.

(패킷 채우기)

(패킷 채우기)

(결과 확인)

(결과 확인)

결과를 보니 잘 들어가는 것을 확인 할 수 있다.
뒤에 0들이 있는 부분에 answer 필드를 채워서 보낼 것이다.

(answer 필드)

(결과화면)

결과화면을 보니 Answer필드도 채워졌다.
이제 이대로 전송하면된다.

전송 결과
피해자가
naver.com를 입력하니 가짜 사이트로 접속되는 것을 확인 할 수 있었다.

(1)에서
ARP Spoofing까지 프로그램을 마무리했다.

그리고 포워딩 기능을 추가하기로 했는데
포워딩을 그냥 윈도우의 라우팅 서비스를 이용할 것이다.

이제 받아온 패킷에서
DNS 패킷을 구별하고
www.naver.com 특정 도메인 네임에 맞는 패킷들을
필터링 할 수 있어야
그 패킷에 대한 응답을 먼저 할 수 있다.
그리고 그래야 DNS Spoofing을 할 수 있다.

먼저 DNS 패킷을 구별해보자.

DNS는 53번 포트를 사용하므로 udp 헤더의 도착지 포트번호를 확인하면 된다.

(DNS 포트 53번 확인)

(DNS 패킷 생성)

(DNS 패킷이 수집된 모습)

DNS 내용이 수집된 화면이다.
맨 앞 두바이트가 Trx ID이고 (DNS Spoofing때 필요한 항목이므로 뽑아낼 수 있어야한다.)
그 다음 2바이트 0x0100 Flag가 보인다.
그 다음 2바이트 Question, Answer, Authority, addional 이 보인다.
그리고 3으로 시작하는 DNS 주소가 보인다.
DNS 패킷이 맞는걸 확인 할 수 있다.

이제 여기서 DNS Question의 주소부분만 떼올 수 있어야한다.
unpack을 사용해서 질문 필드만 떼어내 보았다.

(쿼리 내용 추출)

(내용 화면)

처음에는 출발 포트번호 53번도 적용시켜서 응답까지 봤는데
잠깐 우리가 패킷을 분석하면서 확인해야하므로
목적지 포트 53번만 검사하도록 잠깐 수정했다.
(또, 내 호스트에서 나가는 패킷으로 검사할 것이므로 내 패킷이 보이도록 수정했다.)

(확인을 위한 수정)

(www.naver.com 검색)

(결과화면)

naver 를 검색한 DNS 패킷 내용만 잘 출력되는 것을 볼 수 있다.

여기서 DNS Spoofing에 필요한 정보
1. Src Port Number
2. Transaction ID
3. DNS 물어보는 내용

위 내용을 확인해보도록 하겠다.

(확인 코드)

(결과)

이제 여기서 주소 도메인 네임만 정확히 뽑아내야한다.

그러기 위해 바이트형식으로 되있으니 decode()를 해주었다.

(decode() 코드 추가)

(결과 화면)

www.naver.com이 잘 보인다.
이제 이 것을 문자열로 뽑아내는게 일이다.

(도메인 부분만 뽑아내는 코드)

(결과 화면)

도메인 네임만 잘 보이게 되었다.

이제 다시 src_ip != 100 으로 수정하여 나의 IP를 제외한 다른 패킷들을 볼 것이다.
조건을 수정해주고

ARP Spoofing을 해준다음
아래의 코드를 실행시켰다.
그리고 피해자는 www.naver.com에 접속하였다.

(완성한 코드)

(입력한 naver.com가 보인다.)

피해자가 보낸 패킷의 내용을 덤프 받을 수 있고
확인 할 수 있었다.

여기 까지 했으니 (3)에서는
이 패킷을 받아서 naver.com을 물어보는 패킷에 대해
응답패킷을 만들어서 피해자에게 보낼 것이다.

그렇게 되면 DNS Spoofing 공격에 성공하게 되는데
그 결과를 확인해 볼것이다.

DNS의 동작 까지 확인해보았고
오늘은
DNS 동작을 이루는 패킷이 어떻게 이루어져 있는지 분석해보겠다.

호스트의 DNS IP주소를 확인해보겠다.

(DNS 서버 주소)

164.124.101.2 로 되어있다. 아래 IP주소도 맞다.
DNS 캐시 서버이다.

이제 패킷을 덤프해서 확인해보겠다.
와이어샤크 실행
간단하게 캡쳐 필터링 룰을 설정하였다.

(캡쳐 필터링 룰 설정)

멀티캐스트를 제거하였다.
멀티캐스트와 브로드캐스트를 제거해야하는데 지금보니
위에 오타가 있었다. :)

간단한 룰을 설정해주고 naver.com에 접속하였다.
(도메인 네임을 가지고)

(naver.com 입력)

그리고 디스플레이 필터 룰을 dns 로 설정하여
dns 패킷만 확인하였다.
아래 화면에
같은 Trx Id 를 가진 패킷들을 빨간색 표시해두었다.

(DNS 패킷)

디스플레이 필터링 룰을 dns.id == 0x0e68 로 설정하여
해당 아이디의 패킷만 필터링 하였다. (보기 좋게)

(필터링 룰 적용)

이제 query (Qeustion) 패킷부터 살펴보겠다.

(Trx ID)

DNS query 패킷의 첫번째 요소는
Transaction ID 이다.
UDP 통신이기 때문에 패킷을 구별할 수 없다. 그렇기 때문에 이 ID가 존재하고
이 ID로 해당 질문에 대한 답변을 구분 한다.

(Flag)

두번 째는 Flag이다.
질문, 응답 등의 패킷 타입을 결정한다.

(Question)

Question 필드에는 물어보는 도메인 네임의 수이다.
보통 한개가 생기면 바로 물어보기 때문에
한개 이상의 패킷을 보기는 힘들다.

(나머지 필드)

나머지로 Answer , Authority, Addional 이 있다.
Answer는 질문에 대한 답이고
Authority는 그 답에대한 근거(?) 출처(?) 정도이다.
Additional은 추가적인 내용이 붙는다.

정리하자면
DNS Header
 1. transaction id (2바이트)
 2. Flag (2바이트)
 3. qeustion(2바이트)
  - 질의 갯수
 4. answer(2바이트)
 5. authority(2바이트)
 6. additional(2바이트)

이렇게 구성되어있다.
도메인 네임의 전송을 살펴보겠다.

(www.naver.com 이 담겨져 있는 모습)

살펴보면
먼저 문자의 수가 나온다. 03, 그 뒤로 www (77 77 77) 이 나온다.
그리고 다시 문자의 수 05, 그리고 naver 5글자가 나오고
마지막으로 03 , com 3글자가 나온다.

(응답 패킷)

응답 패킷을 보면
DNS 헤더의 똑같은 양식에
응답부분이 채워져서 전송되었음을 확인 할 수 있다.

그러면 위에서 작성했던 도메인 네임을 여러번 쓸까?

그렇지 않다.
패킷을 잘 보면 c0 이 보이는데
c0은 포인터라는 뜻이다.
c0 뒤에 2b는 43이라는 숫자로 DNS 헤더의 43번째에 있는 주소를 나타내는 뜻이다.

(포인터 표시)

지금까지 DNS 패킷을 분석해보았다.

이제 DNS 패킷을 조작하여 할 수 있는 공격기법을 살펴보겠다.

* DNS Spoofing
- DNS를 속이는 공격 기법
 - trx id와 포트번호를 맞춰야한다.
 - Birthday Attack(추측성 공격, trx id를 추측하는 공격기법)
 - 그래서 보통 ARP Spoofing과 함께 공격을한다. (클라이언트가 대상일때)
 - 스푸핑 환경을 만든 후에 공격을 한다.
 - 공격자와 피해자가 같은 환경에 있어야한다.


DNS Spoofing을 해볼 것이다.

우리가 작성해야할 프로그램
1. ARP spoofing (pcap library를 이용)
 1) arp cache poisoning
 * ARP request 메세지를 작성하여 스푸핑
 * 브로드 캐스팅은 사용하지 않는다
 * 유니 캐스팅을 할 수 있도록 작성
target : 192.168.3.99
 - mac : 90-9f-33-ec-cc-37
attacker : 192.168.3.100
 - mac : 90-9F-33-EC-CB-0B
게이트웨이
 00-10-f3-4e-58-40

2. DNS spoofing (pcap library를 이용)
 
0) packet forwarding
  - 자기 패킷이 아니라면 원래 목적지로 포워딩
 1) DNS Query 패킷을 모니터링
 2) 타겟 도메인(www.daum.net) 모니터링
 3) 속이려고 하는 도메인에 대한 DNS 쿼리
     패킷이 검출되면 가짜 응답을 만들어서 전송해준다.
  - 출발지 포트번호와 TRX id 정보를 알아야 한다.

먼저 ARP Spoofing도구를 만들것이다.
(이건 우리가 전에 작성했던 코드로 바로 여기서 사용하겠다.)

(ARP Spoofing 코드)

이 프로그램으로 ARP 스푸핑이 된 결과를 확인 할 수 있었다.

두번째로
DNS Spoofing을 해주는 프로그램을 만들 것이다.
우리가 ARP 스푸핑을 해서 스니핑을 할 때 포워딩 기능이 없었다.
그래서 DNS Spoofing 코드에 포워딩 기능을 추가할 것이다.

먼저 포워딩 기능 부터 구현해보겠다.

arp_cache_table 변수는
subprocess를 이용해 arp table을 받아 가지고 있는 arp table이다.
IPv4 패킷만 걸러내보겠다.

(IPv4 필터링)

(결과 화면)

끝에 2048이 16진수로 0x800이다. IPv4만 걸러낼 수 있다.

여기서 IP 주소를 보고 구별 할 것이다.

나에게 오는 것이 아닌것 그리고 브로드캐스팅 되는 것 멀티캐스팅되는것을 제외하고는
포워딩을 해줘야할 필요가 있다.
그 패킷들만 필터링 해보겠다.

(포워딩할 패킷 필터링)

자 여기까지 포워딩이 되야할 필터링을 마쳤다.
이제 ARP 스푸핑과 지금까지 작성됬던 프로그램을 동작시켜서
포워딩 해야할 패킷들이 잘 필터링 되는지 확인해 보겠다.
두개 같이 동작 시킨후
피해자가 8.8.8.8 외부 IP로 핑 메세지를 보냈다.

(결과화면)

결과 화면을 보면
99(피해자)가 보낸 핑 메세지들이 필터링 되서 내 화면에 출력되고 잇는 것을 확인할 수 있다.

이제 여기서 포워딩을 추가해주고
DNS Spoofing 프로그램을 만들어 보겠다.