어제까지 ARP Spoofing공격을 공부했다.
이 ARP Spoofing 공격이 가능한 이유는
인증과정에 대한 부재가 원인이다.
인증과정을 거치면 속도가 느려진다. 그렇기 때문에 추가하지 못하고있다.
(V3도 ARP Spoofing을 막아준다.)
막으려면
arp -a 를 들어가서 ARP 테이블을 들어가보면 유형에 동적이라고 나와있다.
동적 -> 직접입력 안해도 되고 바로바로 인터넷을 쓸수 있다.
정적 -> 안전하다. 하지만 계속 업데이트를 직접 해줘야한다.
명령어
arp -s (옵션)
arp -s (정적으로 바꿔줄 수 있다.)
(정적으로 바꾼 화면)
탐지 하는 법
1.서로다른 IP에 대해 중복되는 맥주소가 있을 때
2. 대량의 ARP 패킷이 탐지 될 때
Layer 3에 대한 이해
- 어떻게 IP헤더만을 가지고 다른 네트워크와 통신이 가능한가?
- 이더넷헤더 + IP 헤더
- ICMP (Internet Control Message Protocol)
- 네트워크상에 오류를 제어하기 위한 목적
- 요즘엔 효율성은 별로 없는데 취약점들이 너무많아서
ping정도만 사용된다.
ICMP - 오류상황 전달, 서버와의 시간 동기화 등
많은 타입의 ICMP가 있다.
ICMP 공통헤더
- type(1) : ICMP 패킷의 타입
- code(1) : ICMP 패킷타입의 세부 정보
- checksum(2)
ICMP 타입에 따른 헤더
- ping : Echo Request(8번) (ICMP의 한 종류다.)
서버입장에서 ping을 차단시키는 경우도 있다.
(공격으로 이용할 수 있기 때문이다.)
원래 용도는 상대와 통신이 잘되는지 테스트하는 용도다.
우리는 ping 패킷을 만들어볼 것이다.
(ICMP 패킷을 생성한 코드)
(출력해보면 헤더가 잘 만들어졌음을 확인 할 수 있다.)
type : 8번
identifier(2)
sequence number(2)
payload(?) - 정하기 나름이다. 여기 들어있는 데이터 그대로 응답이 온다.
- 별 의미는 없다. ping의 크기를 조절하기 위한 것이다.
(ping 메세지 테스트를 위해 수정한 코드)
(ping을 보내고 응답을 받은 것을 확인할 수 있다.)
(cmd 창에서 ping 메세지를 사용해서 확인한 결과)
- 응답이 오는것을 확인 할 수 있다.
* IP Spoofing (L3에서 할 수 있는 공격)
- IP값을 변조
- 0ffset, IP 주소 등등
다음 주 부터는 IP에 관한 내용을 살펴보고
L4부터 취약점을 파악해보겠다.
'Hacking > Network Hacking' 카테고리의 다른 글
| Network Hacking - L4(UDP) 취약점, Scan, Flooding (0) | 2017.01.03 |
|---|---|
| Network Hacking - Wireshark, checksum, Dos Attack (0) | 2017.01.02 |
| Network Hacking - 스니퍼 프로그램만들기(2) (포워딩) (0) | 2016.12.30 |
| Network Hacking - Packet Sniffer 만들기 (0) | 2016.12.28 |
| Network Hacking - ARP Cache Poisoning(2) (0) | 2016.12.28 |
