spoofing

ttl 값은 변경 가능 -> 추측만 가능 

배너 변경 ->  /etc/issue

------

scanning TCP/UDP 

UDP

TCP scanning 

3 way handshaking 

TCP open scanning

syn

syn+ack

ack

-> 세션에 기록이 남음 

rst 

rst+ack

-> 포트가 닫혔을 경우 

-------------

stealth scanning 

TCP Half Open scan 

syn

syn+ack

rst

rst 

rst+ack

-> 포트가 닫혔을 경우 

--------

stealth scanning 

TCP Fin,Xmas, Null Scan

Fin,Xmas, Null Scan

-> 포트가 열려있을 경우 무반응

Fin,Xmas, Null Scan

rst

-> 포트가 닫혔을 경우 

-----------

nmap

스캔하는 패킷 잡아서 확인하기 

-sF

-sX

-sN

스캐닝 탐지 

Router / switch white list -> 화이트 리스트 기반 -> 효율적으로 떨어짐 

unnecessary service down  서비스 없애기 

Firewall 

IDS -> 침입 탐지만 함 

IPS -> 침임, 스캔 탐지 차단

DDos는 막기 힘듬

포트 스캐닝을 근본적으로 막을 수는 없음 

알려진 포트들만 주로 스캐닝함 

---------

spoofing 

ip, mac, dns spoofing 

ip, mac spoofing 

로컬에서만 가능한 해킹 공격

ip spoofing은 외부 공격도 가능

mac 필터 통과 -> mac 스푸핑 

ip, mac 충돌 -> spoofing에 의한 결과 

mac을 바꾸었는데 ip충돌이 나는 이유 

        -> dhcp 할당시 mac을 기반으로 ip할당하는데 같은 mac이면 같은 ip를 할당 해 줌  

        -> vmware 복제시 충돌 -> mac 주소 변환 -> 다른 ip 할당 

공유기의 mac을 바꾸면 할당받는 ip가 바뀜 -> ip 위장 가능 

-> 똑같은 ip를 할당하는 경우도 있음 

---------

MAC 바꾸기 

회사이름 + 랜덤값 

-> 변조 -> mac 필터 우회 

도구를 이용한 방법

mac address changer

-> 안 써도 충분히 할 수 있음 

LAN카드가 활성화 되어있는 경우 MAC변환 불가 

-> vmware 끄고 바꿔야 함