20199308 2019-2020-2 "네트워크 공격과 방어 연습"주 5 일

(: 」∠) _

• 이 작업은 과정에 속한다 : ". 네트워크 공격과 방어 연습"2019-2020-2-1991 및 1993
• 작업 요구 사항 : 다섯 번째 작업 TCP / IP 네트워크 프로토콜 공격
• 목적 : 학습 방법 네트워크 공격과 방어 연습
• 저를 달성 할 수 있도록에서 작업 것을 목표 : 장 TCP / IP 네트워크 프로토콜 공격

첫째, 연습 내용

1.TCP / IP 네트워크 프로토콜 스택 공격 개요

1.1 네트워크 보안 속성 공격 모드

네트워크 보안 실수 또는 악의적 인 이유의 파괴, 갱신, 누출, 지속적이고 안정적인 시스템 가동 시간으로부터 보호 시스템의 데이터 하드웨어, 소프트웨어 및 네트워크 시스템을 의미, 네트워크 서비스가 중단되지 않습니다.

• 네트워크 보안 속성 : 기밀성, 무결성, 가용성, 신뢰성 및 부인 방지.
• 기본 네트워크 공격 모드 : 캡처 (스니핑 및 듣기), 인터럽트 (서비스 거부), 변조 (데이터 패킷의 위조), 위조 (스푸핑).
  
• 중앙 공격 : 당사자와의 통신 기술 다양한 수단을 통해 공격자를 결합하여 패킷 변조 및 ID 사기, 그들은 실수가 직접 통신에 개인 채널을 통해 알았는데 그래서, 별도의 연결 세션 및 양방향 메시지 전달을 설정하려면 실제로 전체 대화가 차단되고 공격자에 의해 제어.

1.2 TCP / IP 네트워크 프로토콜 스택의 보안 결함 및 공격 기술

• TCP / IP 네트워크 프로토콜 스택은 설계 목표의 시작은 일반적인 인터넷 프로토콜 함께 격리 된 컴퓨터 네트워크 연결의 다른 유형을 사용하는 것입니다. 나중에 큰 성공이었다 인터넷의 글로벌 인터넷 시대의 발병에 기여, 보안 결함의 TCP / IP 네트워크 프로토콜 스택의 존재는 표면에 시작, 우리는 보안 커뮤니티에 대해 우려하고있다.

• TCP / IP 네트워크 프로토콜 스택은 네트워크 인터페이스 층, 상호 연결 계층, 전송 계층 및 응용 계층으로, 디자인의 계층 적 모델을 사용합니다. 각 층은 각각이 대응하는 네트워크 프로토콜을 갖는 다른 기능을 담당한다. 각 수준에있는 네트워크 프로토콜이 특정 보안 문제 또는 설계 결함입니다 또한 기술이 등장 상응하는 공격이다.

1.3 원래 패킷 위조 기술과 도구

• 기술을 스푸핑하면 공격이 위조 된 메시지를 처리 ​​할 때 고통을 받아, 대상 호스트에 특수하게 조작 한 네트워크 패킷을 위조하는 공격자를 필요로 얻을 수 있습니다.

• UNIX 플랫폼 및 Windows 플랫폼에서 공격자는 TCP / IP 프로토콜 스택 패킷 캡슐화 및 인증 절차를 거치지 않고 원료 소켓을 사용하여 임의의 데이터 패킷을 구성 할 수있다.

2. 네트워크 계층 프로토콜 공격

2.1 IP 소스 주소 스푸핑

• 원리 : 진위를 확인하기 위해 소스 주소없이 패킷 포워딩 경로의 목적지 주소의 설계에 사용되는 IP 프로토콜입니다.

  • 대부분의 경우, 패킷의 소스 IP 주소가 올바르게 패킷되는 보냈습니다의 IP 주소로 설정되어 있지만, 악의적 인 공격자의 목적은 다른 거짓 IP 주소를 포함하는 IP 프로토콜 헤더를 수정합니다, 숨겨진 전송 소스를 속이는의 목표와 목적을 달성하기 위해 그래서, 그것은 다른 주소에서 시작된 것처럼 보이게.
  • 특정 상황에서 공격자가 응답 패킷을 도청 할 수, 또는 관리 호스트에 적절한 패키지로 리디렉션 할 수 있습니다, 가장 일반적인 상황은 가짜의 IP 주소를 공격자가 동일한 로컬 영역 네트워크에있는, 또는 ARP 스푸핑을 구현 될 수 있다는 것입니다 재 공격 납치 응답 패킷을 라우팅, 다음 공격자 완전히 가짜 호스트 네트워크 상호 작용을 할 수 있습니다.
    

• 공격을 가짜의 IP 프로세스를 스푸핑 IP 소스 주소를 사용 :

  • 1, 신뢰할 수있는 호스트 응답 패킷을받은 후 속이는 과정에 영향력을 피하기 위해 일할 수있는 능력을 상실 서비스 거부 공격;
  • 2, 대상 호스트의 TCP 초기 시퀀스 번호 (ISN) 샘플링 및 투기;
  • 3 SYN 패킷 위조 된 소스 IP 주소는 타깃 호스트 IP 호스트 송신 신뢰할;
  • 신뢰할 수있는 호스트로 대상 호스트에 SYN / ACK 패킷을 기다리는 4 마비되었다;
  • 도 5를 다시 대상 호스트에게 신뢰할 수있는 호스트가 ACK 패킷 제공되는 ACK 패킷 송신 대상 호스트 ISN + 1 가치 히트를 개선 할 수있는 가능성을 제공하는 ACK를 송신함으로써 다른 패킷이 많이있을 수 예측을 전송 위장;
  • 도 6에서, 접속이 확립되고, 위조는 호스트와 대상 호스트 통신을 신뢰할.
    

2.2 ARP 스푸핑

공격자는 가능한 부당한 침입 기법의 목적을 달성하기 위해, IP 스푸핑 가짜 MAC 주소가 얻어지는 구체적인 대응은 유선 이더넷 또는 무선 네트워크 ARP 메시지에 가짜 보낸다.

• ARP 프로토콜은 작동 : ARP 프로토콜은 네트워크 호스트 MAC 주소에 IP 주소와 LAN의 통신을위한 MAC 주소를 확인하는 데 사용됩니다.

• ARP 프로토콜은 MAC 주소의 기본 기능은 대상 호스트에 패킷을 보낼 대상의 IP 주소를 조회합니다.

• ARP 프로토콜의 MAC 주소 매핑 프로세스 단계에 IP 주소를 완료합니다 :

  • 하나는, 이전의 맵핑에 기초하여 다른 호스트와 통신하는 각각의 호스트 장치에 ARP 캐시를 갖는 네트워크가 네트워크 IP 어드레스와의 관계의 MAC 주소에 ARP 캐시 호스트 액세스 유지;
  • 도 2에서, 호스트가 대상 호스트로 패킷을 전송할 필요가있을 때, 자신의 ARP 캐시에 대응하는 대상 호스트의 IP 주소의 MAC 주소 체크한다. 만약 그렇다면, 상기 패킷은 MAC 주소로 직접 전송되며, 방송 ARP 요청 패킷을 검색 근거리 통신망에 대응하는 목적지 호스트 IP 어드레스를 MAC 어드레스를 전송하지 않는 경우;
  • 이 데이터 패킷을 무시하는 동일하지 않은 경우 (3), ARP 요청 패킷을 수신 한 후 모든 호스트 로컬 LAN 세그먼트는 그 자체의 IP 주소와 일치하는 패킷의 목적지 IP 주소를 확인한다; 같은 경우, 첫 번째 노드 소스 IP 주소 및 ARP 캐시에 추가 된 MAC 어드레스 사이의 매핑 관계. IP 주소가 이미 당신이 ARP 캐시 항목을 찾을 경우, 덮어 될 것이며, 그들은 그것을 소스 노드에 노드의 MAC 주소입니다 찾을 것을 서로 이야기, ARP 응답 패킷을 전송;
  • 4 ARP 응답 패킷을 수신 한 후, 소스 노드의 타깃 호스트 IP 주소 및 ARP 캐시 취득한 MAC 어드레스 매핑 테이블 엔트리와, 상기 패킷의 송신을 시작하기 위해이 정보를 사용하여 소스 노드 경우 ARP 응답 패킷을 수신하지, 그것은 ARP 쿼리가 실패했다.
    

• ARP 스푸핑 공격 기술 원칙 : 공격의 루트는 ARP 프로토콜은 프로토콜 설계 사양을 따르면서 모든 내부 LAN 사용자는 신뢰할 수있는 것으로 생각하여 설계 있지만, 사실의 경우는 공격자가 LAN 내부에 존재할 수없는, 또는 가지고 있다는 것입니다 외부 침입자가 악성 코드의 로컬 영역 네트워크에 침투한다. IP 주소 ARP 프로토콜은 다른 한편 기술적 공정 및 질의 LAN 세그먼트 방송 요청 패킷 매핑을 사용하는 방법에 대한 MAC 어드레스 매핑의 문의 보안 결점이지만 결과 응답의 진위를 확인하지 않은 경우에 수행되고 ARP 프로토콜 측면은 효율성, ARP 캐시 메커니즘 디자인을 개선하고, 올바른 정보를 따라서, MAC 주소 매핑 관계에 가짜 IP 주소의 ARP 캐시에 주입하는 것은 매우 쉽게하는 수락 속임수되었을 때 작동 ARP 응답을 처리 할 수있을 것입니다.

• ARP 스푸핑의 구현 : 소스 노드 (A)를 통신하는 IP (A), MAC 주소 MAC (A), IP 어드레스, 노드 B와 목적지 노드 B의 IP 주소를 가정하자 IP (B), MAC 주소는 MAC (B)는, 공격자는 IP 주소가 IP (C), MAC 주소 MAC (C) 인 동일한 LAN 노드 C에있다.
  

2.3 ICMP 리디렉션 공격 경로

라우터와 같은 공격자는 ICMP 마스커레이딩는 라우팅 경로 선택 대상 호스트 니프 또는 공격 스푸핑 기법 공격자에 의해 결정되도록 경로 제어 패킷을 라우팅 스푸핑 보낸다.

• 라우팅 ICMP 리디렉션 메커니즘을 작동 :
  • 오류 제어 및 쿼리 메커니즘의 부족 : IP 프로토콜은 매우 간단하지만,하지만 그것은 또한 단점이있다. 데이터가 삭제되기보다는 생존 시간을보고 인터넷 등을 통해 전송 된 처리 데이터 패킷 송신 다양한 오류가 발생할 수 있고, 상기 라우터가 큰 IP 데이터 그램을 처리 할 수있는 최종 목적지 노드 라우터를 찾을 수있는 라우터가 짧은 시간에 도착 등 . IP 프로토콜 자체가 그래서 이러한 문제, ICMP 프로토콜의 설계를 해결하기 위해, 이러한 문제를 처리하지 않습니다.
  • ICMP 메시지 유형 (범주) :
    • 오류 메시지 : 연결할 수없는 대상 데이터 그램 제한 시간, 데이터 그램 매개 변수 오류;
    • 제어 유형의 메시지 :
      • 요청 / 응답 형 (쌍) 에코 요청 / 응답, 주소 마스크 요청 / 응답, 라우터 간청 / 광고 타임 스탬프 요청 / 응답;
      • 알림 클래스 : 소스 담금질, 방향을 재 라우팅.
• 초당 공정 :
  ICMP 리다이렉트 패킷을 이용하여이 라우팅 호스트 라우팅 테이블을 변경 대상 기기로 리다이렉트 메시지를 전송하고, 라우터가 자신으로 위장 할 수 있고, 타겟 패킷 데이터는 공격자가함으로써 청취자 향상 기기로 전송된다.
  

3. 전송 계층 공격

3.1 TCP RSP 공격

단조 TCP 리셋 패킷 공격은 위조를 방해 TCP 트래픽 연결하는 기술을 말한다.

3.2 TCP 세션 하이재킹 공격

TCP 세션 하이재킹은보다 정교한 공격 기법 TCP 프로토콜 방법, 목표는 TCP 세션 연결을 설정 한 통신 상대를 납치하는 것입니다, 다른 자와 더 통신을 위해, 한 당사자 (일반적으로 클라이언트)의 신원을 위조.

서비스 공격의 3.3 TCP SYN 홍수 거부

• 서비스 거부 (DoS)는 목적은 서버에 액세스 할 수 정상적인 서비스를 제공 할 수 있다는 것입니다,보다 효과적인 방어 매우 어려운 네트워크를 공격하는 것입니다.
• 또한 SYN 플러딩 공격으로 알려진 TCP SYN 홍수, 서비스 거부 공격의 한 형태로서 가장 효과적이고 인기가있다. 그것은 일반적으로 사용자에게 서비스를 제공하기 위해 호스트에 결함을 위조 소스 주소 연결 요청 SYN,하지 않도록 대상 호스트의 접속 대기열이 소비하는 자원의 수가 목표에 송신 TCP 세 방향 핸드 쉐이크 프로토콜을 사용한다.
  

서비스 공격의 3.4 UDP 홍수 거부

상당한 계산 부하 호이스트 대상 호스트 결과 대상 호스트와 네트워크로 UDP 패킷을 다수 전송하고 타겟 네트워크 또는 네트워크 혼잡, 그래서 사용할 수없는 상태로 대상 호스트와 네트워크, 서비스 거부 공격.

4.TCP / IP 네트워크 프로토콜 스택 공격 방지 대책

• 감시, 예방 및 보안 강화
  • 네트워크 인터페이스 계층에서 주요 보안 위협은 네트워크 스니퍼입니다. 주요 작업은 네트워크 스니핑 및 구획 설계 및 최적화 네트워크 구조를 감지하는 사고의 예방 사용을 모니터하는 것입니다.
  • 상호 연결 층에. 검출 및 예방을위한 검출 다양한 기술을 사용하여 여과하고, 정적 IP-MAC 매핑 테이블 바인딩의 IPsec 안전 강화를 사용하여
  • 응용 프로그램 계층에서. 암호화 및 사용자 인증, 디지털 서명 및 인증 및 액세스 제어를 통해 감사, 침입 탐지 및 검출 및 방지, 보안을 강화하는 다른 방법의 사용.
• 네트워크 보안 프로토콜
  • 네트워크 인터페이스 계층 : IEEE 802.11에서 관련 프로토콜, 같은 WEP 및 WPA / WPA2뿐만 아니라 프로토콜 IEEE8002.11X로
  • 네트워크 배선층 : IPSec 프로토콜 제품군. AH 및 ESP를 포함하는 IPSec 프로토콜, AH 프로토콜은 연결없는 무결성, 데이터 근원 인증 및 재생 방지 보호 서비스를 제공하며, IP ESP 프로토콜은 기밀성, 데이터 출처 인증, 데이터 무결성 및 재생 보호 서비스를 제공합니다.
  • 보안 전송 계층 프로토콜 : 보안 전송 계층 프로토콜은 TLS입니다. 기본 기능은 다음과 같습니다 암호화 및 신뢰성.
  • 응용 프로그램 계층 보안 프로토콜 : HTTPS에 대해 서로 다른 보안 메커니즘은 HTTP 대신 사용할 수 있으며, S / MIME 장소 POP3 / SMP 대신 텔넷 등의 SSH.
• 차세대 인터넷 프로토콜
  

둘째, 연습

실용 과제

ARP 캐시 포이즈 닝 공격, ICMP 리디렉션 공격, SYN 홍수 공격, TCP RST 공격, TCP 세션 하이재킹 공격을 포함하여 계약의 랩 환경의 도전 실험 TCP / IP 프로토콜 스택 점에서 전체 네트워크 공격과 방어.

실험 환경

가설	가상 머신	IP 주소	MAC 주소
ㅏ	Metasploitable_Linux	192.168.200.125	00 : 0 C 29 : C1 : 1E : 0C
비	SEEDubuntu	192.168.200.9	00 : 0 C 29 : D0 : F8 : 42
씨	칼리 리눅스	192.168.200.2	00 : 0C : 29 : 35 : 15 : 21

IP 소스 주소 스푸핑

• 이 도구의 설치를 보내기 netwox 및 Netwag을을
  
  

• 열기 Wireshark를 캡처, 입력 명령 터미널 칼리을 시작합니다

netwox 41 -l 192.168.200.180 -m 192.168.200.2

-l 나타낸다 감사 모듈에 연결된 디스플레이; 192.168.200.180 위조 된 소스 어드레스를 41 번가 netwox netwox 도구 (41 개)를 구성 ICMP 패킷과 IP 주소를 설정하는 방법을 나타내는 -m을 나타내는 관련 표시 모듈 무작위 즉, 192.168 .200.2 대상 IP 주소를 나타낸다.

• 이 명령의 원리 ping 명령 유사 ARP 프로토콜은 MAC에 IP 데이터 전송을 변환하는 데 필요한,이 없기 때문에 청색 박스 (게이트웨이 192.168.1.100 192.168.1.1에 칼리도 호스트 아래에 볼 수있다 LAN 필요)하고 IP 데이터를 송신 후, 게이트웨이 MAC 어드레스 칼리 통해 얻어진 데이터를 전송하고, 다음 활성 데이터 방송의 IP 주소가함으로써, 소스 IP 어드레스를 완성 칼리에게 전송 묻는 빨간색 박스는 속임수.

ARP 스푸핑

• 오픈 칼리 IP 전송 기능 : 명령을 사용하여 netwox 33 -b A_MAC -g B_IP -h A_MAC -i A_IP상기 -b : 디스플레이 관련 네트워크 프로토콜 모듈; -g : 클라이언트와 연관된 디스플레이 모듈-H : 서버와 연관된 디스플레이 모듈; -i 검출하는 호스트를 표시하는 관련 통신 모듈, 상기 도면으로부터 알 수있는 달성 된 IP (B) / MAC (C ) 가 ARP 스푸핑
  

• 명령을 사용하여 netwox 33 -b B_MAC -g A_IP -h B_MAC -i B_IPIP (A) / MAC (C 실현 ) 가 ARP 스푸핑을
  

• B-> 통신 : B 명령을 실행 ftp 192.168.200.125호스트 성공적인 로그인 계정과 암호를 입력, 캡처 Wireshark와 기계 B :
  

ICMP 리디렉션 공격

• 그리고 라우팅 테이블 정보 SEED의 첫번째보기는 구현에 netwox 86 -f "host B_IP" -g A_IP -i 路由IP, 검토 Wireshark를 :
  
  

SYN 홍수 공격

TCP RST 공격

TCP 세션 하이재킹 공격

셋째, 연습 요약