분산 반사 서비스 공격 drdos denial of service distributed denial of service distributed reflection denial of service 분산 반사 서비스 거부 공격 99프로 DRDos를 ddos라고 부릅니다. 원점 추적이 굉장히 어렵기때문에 왠만한공격을 DRDos를 씁니다. smurf 공격과 매우 유사합니다 공격자는 출발지 ip를 목적지(피해서버) ip로 조작 요청대비 큰거같은 것을 피해자로 공격을 시킨다고생각하면된다. (ifconfig 하나를 쳤을때 쭈욱 나오는것처럼) 칼리리눅스를 vmware에 2개를 띄웁니다 공격자 반사서버 피해자 kali 1번 ----- 메타스플로이터블 --- kali 2번 (192.168.1.) ---- (192.168.1..

syn-ack flooding hping3 192.168.1.80 -A -S --flood --rand-source -d 1000 -p 8180 -A ack -S syn 서버가 SYN,ACK를 보내면 잘못된 패킷이기때문에 연결을 끊어버릴려고 RST으로 답을줍니다 원래는 취약한 사이트가 아니면 반응도 주지않는 것 입니다. ======================================= GET flooding get 요청을 마구마구 보내는 것입니다. low orbit ion cannon 툴을 다운합니다. (구글에서 이름 치면됩니다.) 다운된 파일은 보안->바이러스->제외하기 이런식으로 진행을 한뒤에 IMMA CHARGIN MAH LAZER를 누르면됩니다 wireshark로 잡아보면 무수히 많이 잡힌것..

ICMP flooding hping3 192.168.1.80 -1 --flood --rand-source -d 1000 -p 8180 -1은 icmp 모드 ================================= Smurf attack hping3 192.168.1.255 -a 192.168.1.80 -1 --flood -a 192.168.1.80 메타스플로이터블 ip로 출발지를 조작하다. -1 icmp (ping) --flood 빠른소스 출발지를 상대방ip (피해시킬서버) 목적지를 상대방쪽의 브로드캐스트(피해시킬 서버 브로드캐스트) 정상적인 상황에서는 반응이나오지가 않습니다. 그래도 테스트를 해봤는데 인터넷이 끊기는 현상이생겨서 일단한번해보시길바랍니다..

metasploitable2 -linux kali linux vmware에 2개띄운뒤 bridge 로 네트워크 구성을 한다 그리고 핑이 잘 통하는지 확인을 한다 그리고 이제 ip로 접속한다 그뒤에 칼리에서 wireshark를 킨다 metasploitable 의 아이피로 잡는다. ======================================= udp flooding 톰캣 서비스를 한번 공격을해보려고 한다. 칼리터미널에서 apt-get install hping3* hping3 192.168.1.80 -S --flood --rand-source -p 8180 -d 2000 -s 는 출발지 포트지정 목적지 포트 무작위 단편화공격 1초에 10 패킷 (-u10000) 1초에 1000 패킷 (-u100) 무수..

udp 프로토콜을 이용해서 네트워크 대역폭을 고갈시키는 공격 정상적인 서비스를 방해하는것, 파괴하는것 x 이렇게 엄청나게많은 출발지가 있는것들이 무엇이냐면 공격자 1명이 서버1대에 자기의 출발지 ip와 port를 랜덤으로 생성하여 목적지(192.168.100.50,80port)서버에 udp 패킷을 보내는것입니다. 목적지인 192.168.100.50에 1대의 pc로 여러가지 출발지 ip를 조작하여(랜덤으로) 같은 데이터 size의 패킷을 보내는 것입니다. 같은목적지로 보내는것입니다. flooding= 패킷을 흘러넘치게한다 이런뜻 이라고 생각하면됩니다. 위에처럼 time display 를 변경해서 보게되면 1초도안되는시간에 엄청나게많은 패킷을 보낸다는것도 알수가있습니다. 네트워크장비의영향보다는 메모리에 영향..

567 : 데이터 4 : 전송계층 = 포트번호, 제어 플래그 TCP = 신뢰성 있는 1:1 통신 UDP = 브로드캐스트 , 1:N 통신, 192.168.0.255 3 : 네트워크 계층 = IP, fragmentation ID (파편화 된 패킷의 조립 순서) 2 : 데이터링크 계층 = mac ========================================= udp 프로토콜을 이용하여 port scan을 합니다 열린포트 해당통신에맞는 메세지를 udp응답으로 전송 닫힌포트 icmp port unreachable 수신 반응이없을때는 보안장비에서 차단합니다 ========================== 실습 일단 제대로보기위해서 wireshark-------------- ip.addr == 192.16..

tcp fin scan 원래는 연결을 종료할떄 쓰는것이 fin 패킷 하지만 최초 접속 시도할떄 syn 대신 fin 패킷을 전송합니다 이런식으로 처음으로 보냈는데도 fin 패킷을 전송합니다 조작을 한다고 생각하면됩니다 열린포트는 반응이없고 닫힌포트는 rst-ack 수신을하며 반응이 없는 경우 보안장비에서 차단합니다 조작된 패킷은아니지만 존재할수는있지만 상황에 맞지않는것이다 ====================== 실습 nmap -sF 192.168.~~~~~ 이런식으로 진행합니다 FIN패킷을 보냈고 닫힌 패킷은 바로 RST,ACK 신호로 닫힌것을 나타내면서 열린것에는 반응이없는 것을 직접 눈으로 볼수있엇습니다. =====================================2) tcp x-mas sca..

tcp half open scan 반만 connection을 한다는 의미이다. 예제 2 syn syn, ack ack으로 마무리짓지만 이예제는 syn syn, ack syn으로 마무리짓는다 80포트에 syn 을 보내고 열려있으니까 클라이언트에서 ack 패킷을 보낼거라 생각하고 연결을 유지한다. 연결을 하지도못하고 그렇다고 끄지도못하고 반만 연결된 상태로 계속 대기하게된다. 더이상아무조치를 하지않는다. 만약에 출발지 ip를 임의로 변조해서 scan 시도시 불필요한 연결대기를 무한대로 생성 이것을 이용해서 실제로 서버를 마비시키는 공격을 후에 해봅니다 반쯤연결된상태를 유한정으로 만들어서 사용자가 접속을 못하게 만들수가있다. nmap -sS 192.168.~~~~~ 로 사용하면됩니다. 직접 wireshark를..

kali linux 실행후 터미널에 친다. apt-get update apt-get install open-vm-tools-desktop fuse reboot apt-get upgrade reboot 스냅샷 찍는거 추천드립니다. tcp ip.src == ~~~ 이렇게 하면 출발지가 ~~~아이피인 것들만 나오고 ip.src != ~~~ 이렇게 하면 출발지가 ~~~ 아닌것들만나온다 ip. src != 142.250.82.120 and ip.dst != 142.250.82.120 출발지가~~아니 고 목적지가 ~~~ ip가 아닌것 을 찾는다 이런식으로 필터링을할수있다. tcp and ip.addr==119.205.194.11 이런식으로도 필터링을 걸수가있다.(wireshark 에서) ===============..

1. 간단한 이론 실습환경 구성 - 메모리는 8G 이상 2. 네트워크 공격 - 정보수집 : 포트스캔 - dos, ddos 공격 실습 3. 공격에 대한 탐지/방어시스템 구축 4. 네트워크 포렌식 - 네트워크 패킷 분석 = 악성코드 추출, 통신경로 추적 TCP/ IP TCP: 4계층(전송 계층)- 포트번호 IP : 3계층(네트워크 계층) ex) 31.45.76.34 IP와 통신을 하고싶다. IP/port 번호가 있어야 내가 원하는 프로그램과 통신 가능 A : 10.10.10.1/24 B : 10.10.10.3/24 C : 10.10.10.200/26 10. 01111111 255.1.1.2 2^8 = 0 ~ 255 192.168.0.10/ 24 192.168.0.10 255.255.255.0 IP주소 = 네..

dos 공격 혼자서 한특정곳에 공격함 네트워크 해킹 칼리 열기 network vm08번으로 edit virtual Network Editer 진입하려서 kali 리눅스, 서버 컴퓨터 (공격 타겟) 같은 네트워크 구성 두 개 다 브릿지 설정 or Vmnet8(NAT)고정 겹칠까봐 VMnet8번으로 Centos8, kali 동일 네트워크 브릿지 또는 vmnet8 hping3 —rand-source Cenos8 에서 레드햇 계열 우분투 계열 systemctl start httpd // service apache2 start Systemctl status httpd // service apche2 status dnf install 파일 이름// apt-get install [파일이름 ---------------..

ARP 스푸핑!!!!!!!!!!!!!!!!!!!!!!!!!!!! ARP 스푸핑(ARP spoofing)은 근거리 통신망(LAN) 하에서 주소 결정 프로토콜(ARP) 메시지를 이용하여 상대방의 데이터 패킷을 중간에서 가로채는 중간자 공격 기법이다. 이 공격은 데이터 링크 상의 프로토콜인 ARP 프로토콜을 이용하기 때문에 근거리상의 통신에서만 사용할 수 있는 공격이다. 이 기법을 사용한 공격의 경우 특별한 이상 증상이 쉽게 나타나지 않기 때문에 사용자는 특별한 도구를 사용하지 않는 이상 쉽게 자신이 공격당하고 있다는 사실을 확인하기 힘들다. 공격자가 의도적으로 특정 IP 주소와 자신의 MAC 주소로 대응하는 ARP 메시지를 발송하면, 그 메시지를 받은 장비는 IP 주소를 공격자 MAC 주소로 인식하게 되고,..

dns 스푸핑에 대해서 시작하기 DNS 스푸핑은 공격자가 클라이언트와 DNS 서버 간 통신에 개입하여 실제 IP 주소가 아닌 가짜 IP 주소를 응답하여 DNS 서버를 속이는 공격이다. DNS 스푸핑은 웹 스푸핑과 비슷한 의미로 이해되기도 한다. IP 주소를 변조 또는 사용자가 의도하지 않은 주소로 접속하게 만드는 공격방법이다. 칼리 facebook 페이지 접속 save page as... index.html 저장하기 위치는 other location >>>>/var/www/html cd /var/www/html 들어가기 apt-get install leafpad leafpad index.html ctrl+f "method" 찾기 뒤에 method post가 되어있는거! action 뒷부분을 전부지운다 a..