[Network] tear drop 시퀀스 확인

1. 구성과 계획
• 네트워크 구성도
피해자 att7 - 192.168.10.150/00:0c:29:a1:3f:e0
감시자 att6 - 192.168.10.149/00:0C:29:C6:9A:42
공격자 att5 - 192.168.10.148/00:0C:29:5D:87:05


• 과정 정리
step1. att6 tcpdump 캡쳐
step2. att5 hping 공격 실행
step3. wireshark 캡쳐본 분석


2. 관련내용정리
teardrop : 단순히 시퀀스 넘버를 일정하게 바꾸는것을 넘어 중첩과 빈공간을 만들며, 시퀀스 넘버를 좀 더 복잡하게 섞는다.


3. 실습과정
step1. att6 tcpdump 캡쳐
tcpdump -xX -w teardrop.cap
step2. att5 hping 공격 실행ll
hping -S 192.168.10.150 -d 50000 --flood -M 111
step3. wireshark 캡쳐본 분석
wireshark on
• filtering : ip.addr == 192.168.10.150

id 가 모두 0045이다. 잘못된 패킷이라 판단되어 흰색으로 잘못된 패킷으로 표시되있다. 많이 오래된 OS라면 이렇게 버려지지않고 시스템자원이 계산하기 때문에 다운될 확률이 높다.

설정해놓은 시퀀스 넘버 111로 중복되어 전송되었다.


4. 결론
현재의 OS는 자동으로 차단하여 현재는 보기 힘든 공격이다.
시퀀스넘버와 ID를 확인하여 필터링 가능하다.