2020. 7. 7.

[Network] Tcpdump를 이용한 telnet 스니핑(애그리게이션)


    1. 구성과 계획
    • 네트워크 구성도
    vmware NAT 환경
    telnet 사용 win xp 192.168.11.147
    telnet 서버 centos6 192.168.11.148
    tcptump centos7 192.168.11.150

    telnet id telnettest/telnettest

    • 과정 정리
    centos7 xp, centos 6 스니핑중
    xp에서 centos 6으로 telnet 접속
    telnet으로 통신한 패킷을 분석하여 에그리게이션

    1. 관련내용정리
    telnet 이용한 접속은 아이디와 패스워드를 평문으로 접속하기에 매우 취약하다.

    1. 실습과정
    1. win xp (환경 설정)
    관리도구 -> 서비스 -> 텔넷 서비스 활성화
    제어판 -> windows 방화벽 -> 예외 -> 포트 추가 -> 텔넷 TCP 23 텔넷 UDP 23
    1. centos 6 (테스트 계정 생성 셋팅)
    useradd telnettest
    passwd telnettest
    yum install telnet
    yum install -y telnet-server
    vi /etc/xinetd.d/telnet
    yes -> no 수정
    // 슈퍼데몬에서 필터링 가능성 제외
    setup
    // 방화벽 설정 해제
    service xinetd restart
    // 혹은 방화벽 23포트만 오픈
    vim /etc/sysconfig/iptables
    -A INPUT -m state --state NEW -m tcp -p tcp --dport 23 -j ACCEPT 내용 추가
    service iptables restart
    vi /etc/securetty
    pts/0 ~pts/9까지 추가해준다.
    chkconfig --level 2345 telnet on
    /etc/init.d/xinetd restart
    netstat -ntlp

    1. cenots 7 (tcpdump 스니핑)
    tcpdump -xX -i ens32 tcp port 23 and host 192.168.10.147 > 07.07
    1. win xp (텔넷 접속)
    telnet
    192.168.11.149
    1. 파일 추출 확인
    ta kstll txt - Windows A-A(O) 00010: coa8 Ob93 0017 040d 668c 83f1 53e3 2cf0 00020: 5018 3908 2ff0 0000 fffa 2701 fff0fffa P.9./.. 00030: 1801 fff0 ..f...S.,. IP 192.168.11.147.ams > 192.168.11.149.telnet: Flags [P.], seq 25:31, OXOOOO: 4500 002e 0262 4000 8006 5fef coa8 Ob93 E....b@... 00010: coa8 Ob95 040d 0017 53e3 2cf0 668c 83fd ...s.,.f.. 00020: 5018 fad5 860a fffa 2700 fff0 P........ ' IP 192.168.11.149.telnet > 192.168.11.147.ams: Flags ack 31, win 1 OXOOOO: 4510 0028 b623 4000 4006 ec23 coa8 Ob95 00010: coa8 Ob93 0017 040d 668c 83fd 53e3 2cf6 ..f...S.,. 00020: 5010 3908 6ecc 0000 0000 0000 0000 p.9.n..... IP 192.168.1 1.147.ams > 192.168.1 1.149.telnet: Flags [P.], seq 31:41, OXOOOO: 4500 0032 0263 4000 8006 5fea coa8 Ob93 E..2.c@... 00010: coa8 Ob95 040d 0017 53e3 2cf6 668c 83fd ......s.,.f.. 00020: 5018 fad5 0069 0000 fffa 1800 414e 5349 P....i......ANSl 00030: fff0 IP 192.168.11.149.telnet > 192.168.11.147.ams: Flags ack 41, win 1 OXOOOO: 4510 0028 b624 4000 4006 ec22 coa8 Ob95 00010: coa8 Ob93 0017 040d 668c 83fd 53e3 2d00 ........f...s. 00020: 5010 3908 6ec2 0000 0000 0000 0000 p.9.n......... IP 192.168.11.149.telnet > 192.168.11.147.ams: Flags [P.], seq 28:40, nvnnnn• agin nnqa annn annq rnRR F ao,'nn n Ln 1, col 1 100% Unix (LP)
    1. 분석
    telnet 보통 login 뒤부터 아이디가 전송된다. 59:60부터 아이디가 시작된다.
    passowrd 뒤부터 비밀번호가 전송된다. 71:72 패킷을 따라가면서 telnettest 추출된다.

시간:
라벨: ,

댓글 없음:

댓글 쓰기

피드 구독하기: 댓글 (Atom)