spoofing, sniffing and redirection

arp spoofing 방어 

-> static으로 변환 -> 재부팅 할때마다 다시 해야함 -> 관리상 불편 

-> arp -a   -> gateway주소 확인 

-> arp -s    gateway주소     gateway의 MAC주소 

-> 바이러스의 형태로 도는 경우 -> 백신 -> 못잡는 경우도 허다

-> 네트워크에서 MAC주소 모니터링 

-----------

sniffing 

2,3층 장비 -> NAT, 1:1통신, mac, 주소체계  -> sniffing 불가 

promiscuous mode -> winpcap으로 활성화됨 -> 패킷을 볼수 있게 해줌 

hub의 역할 -> 

promiscuous mode -> hub 환경 

   -> ip가 달라도 mac변조로 같은 mac을 자지면 스니핑 가능 

최소한 한번은 기록 되어야 함 -> gateway 핑

데이터 확인은 가능하지만 데이터 복원 불가 -> 데이터를 받는 건 정상적인 길로 전송되기 때문 

A -> 해커 -> C

C -> A

mac flooding 

-> 안되는 공격이다 -> 이미 취약점들이 다 막힌 상태

     switch환경하에 sniffing 

오버플로 -> null을 덮어 써버리는 것 -> 변수 침범

arp table의 기록 범위를 넘겨 버리는것 -> hub로 넘어감 -> 1:1이 아니라 전체에게 보내버림 

-> 안먹히는 공격

-> 양쪽다 spoofing을 해야한다 

--------

arp redirect 

공격자가 GW로 위장하여 네트워크 상에 변조된 정보 broadcast로 전송 

-> arp reply를 broadcast로 보내는 것 

-> 정적으로 -> 공격자는 정상적으로 되도록 

-> fragrouter -B1 -> forwarding -> 전부 인터넷 됨

GW도 spoofing하여야 돌아오는 데이터를 가로챌 수 있음 

-------

arp spoofing 

redirect 

etthercap

mitn 공격을 하기 위한 종합 툴

ssh1,ssl 암호화 sniffing -> 버전에 따라 가용/불가용

-> 베너 확인 

winpcap(윈도우)

 libpcap(리눅스)

unified 

bridged 

arp poisoning

-> 

ICMP redirect

-> 라우터 hop수를 속이기 

port stealing

DHCP spoofing

-> 공격자가  DHCP 역할을 하게 됨 

-> static 쓰면 방어 가능 

ssh 

-> 설치하면 sftp / ssh 둘다 사용 가능하게 됨 

암호 복호화 

공개키 - 누구나 받아서 사용할 수 있는 키

개인키 -  공개키로 암호화해서 보낸 데이터를 해석할 수 있는 키

1. 개인키와 공개키를 만든다

2. 공개키를 공개한다

3. 비밀키를 만든다

4. 공개키로 비밀키를 암호화 한다 

5. 개인키로 비밀키를 해석한다 

6. 비밀키로 데이터를 암호화해 주고 받는다 

-> 개인키가 있어야 데이터를 가로챌수 있는 구조 

공개키의 취약점 -> 개인키, 공개키는 누구나 만들수 있다 

               -> 서버와 대상간에 다른 공개키를 공유하게 만들어 비밀키를 알게 됨

ssh1 (1.51)

-> 취약

ssh (2.00)

-> 패치됨 

ssh (1.99)

-> 취약 버전을 지원하기 때문에 역시 취약 

-> version negotiation 과정이  clear text로 노출되어 위험하다 

** 

etthercap 낮은 버전에서는 간혹 broadcast로 arp reply를 보냄  -> 버그 

희생자가 되지 위한 열악한 환경 조성 

vi /etc/ssh/sshd.config

-> 버전 재설정 가능, 21줄

-> protocol 1,2

다른 호스트에서 

-> telnet으로 22포트로 접속하여 베너 확인 

cd /usr/share/ettercap/ 이동

ettherfiler etter.filter.ssh -o etter.filter.ssh.co

-----------