sidejacking and hping3

sidejacking 

로그인 해도 바뀌는 화면마다 각기 다른 쿠키가 필요 

-> 정상적인 로그인 계정에만 각기 다른 쿠키를 제공하는 구조 

-> 그때그때마다 쿠키를 가로채기 

-> session hijacking 이랑은 다른 개념

-> 쿠키를 암호화 하지는 않음 -> http이든 https든 상관 없음 -> 값을 넘겨주기만 하면 됨

-> 자체 필터가 필요한 번거로움 

arpspoof -> GW 

fragrouter -> forwarding

ferret -> 특정 패킷 수집, http, https -> pcap형식으로 저장 -> hamster에 전달 

hamster -> 브라우저에서 볼 수 있게끔 ferret에서 받은 패킷 재생 

proxy 서버 -> 거쳐서 지나가게 하기 

firefox proxy loopback 설정 

브라우저에서 hamster 실행

-> 대상이 먼저 네이버 띄워놓고 시작하는게 수월함

-> 공격을 취소를 하고 다시할 때는 pcap이랑 txt파일을 지워줘야 함 -> 초기화 

-> 별도의 스크립트 작성 

간편한 공격 스크립트

.....

...

firefox-bin

killall -9 firefox-bin ferret hamster fragrouter arpspoof

cd /pentest/sniffers/hamster/

rm -rf sniff* hamster.txt

...

...

-> 프로그램이 전부 실행되지 않는 문제해결 필요 

-------

방어 

arpspoofing 방지가 우선 

-> layer2 와 layer3의 중간쯤 되는 공격

-----------

ddos  -> 다구리

dos -> 1:1

대역 차단 -> vpn 돌려 공격

ddos

공격 유형 

1-tier attack

2-tier-attack

-> 다른 호스트의 자원을 이용해서 공격 -> arpspoofing 출발지 변조 -> 핑의 대역 크게 만듬

3-tier-attack

-> 다른나라 거쳐서 공격

좀비툴 감염경로 -> 게임핵툴

     -> 인터넷 첨부파일, 블로그 첨부 파일

     -> 토렌트 

     -> 웹하드 client 프로그램 -> phising 사이트 유도 

           -> 설치하면 자동적으로 깔리게끔 패킷형태로 구성 

     -> etc...

-> 원천 봉쇄 불가 -> 백신 의지 -> 다 잡지는 못함

---------------

ping of death 

hping3 -1 (대상IP) -d (datasize) -i (패킷 전송 속도)

    -i u10.... /u1 -> 위험

   (ICMP)

-> 대용량의 핑을 보냄 

      -> 쪼개서 보내고, 받아서 재조합함 -> 대역폭 고갈

-> 보내는 측도 인터넷이 안되게 될 수 있음 

-> wireshark 뻗을 수 있음 -> 대용량의 핑을 저장하는 결과    

fregmented IP  -> 대용량 icmp 재조합 

   

ddos는 대상의 방화벽이 뻗을 수 있음 

---------

syn Flooding 

-> 100% 된다는 보장은 없음 

-> 4계층 공격

-> syn 가 사라지지 않게 하기 -> syn을 더이상 받을 수 없게 만들기 

-> 혼자서 공격은 가능하지만 서버를 임의적으로 취약하게 만들어야 함

-> ddos로 하면 또한 막기 힘듬

syn 백로그 -> syn요청을 저장 -> ack가 오면 로그가 사라져야 정상 

ip spoofing -> 없는 ip로 syn flooding 공격 -> 없는 ip ->  서버에서는 syn대기 하게 됨 

-> 조금 기다리다가 사라지지만 그 시간이 지속적으로 누적되어 

     syn 백로그 용량 초과되버림 

hping3 (대상IP)  -a (속이는 source IP) -p (destination port) -S -i u100.../ u10...

        (syn flag전송)

취약하게 값 조정 

echo 32 > /proc/sys/net/ipv4/tcp_max_syn_backlog   //원래는 512

32 -> netstat 했을때 syn_queue를 물고있는 숫자

echo 0>/proc/sys/net/ipv4/tcp_syncookies

-> 취약하게 만들기도 하지만 방어법이기도 함 

방어 

attacker ack packet send time check -> syn을 이렇게 많이 보내는 정상적인 경우는 없음

-> 포트 스캐닝이거나 syn flooding

syn packet intervel ->간격으로 파악하여 정책 조정

IDS/ IPS

그외에 여새는 잘 안먹히는 공격들....