SYN Flooding
- 공격자가 서버에 SYN 패킷을 무한으로 보내 서버의 Backlog Queue의 자원을 모두 소모하여 정상적인 사용자와 연결 수립을 할수 없게 만드는 공격 [공격] # hping3 --rand-source 192.168.30.3 -p 80 -S --flood 192.168.30.3 의 80번 포트로 랜덤한 출발지 주소로 변경하여 SYN 패킷을 가능한 많이 계속 플러딩 한다 netstat -an 으로 확인하면 SYN_RECEIVED 상태가 많아진다 [대응방안] 1. uRPF : unicast Reverse Path Forward - Unicast Routing 과정은 Source-IP 정보는 확인하지 않는다. 즉, IP Spoofing 공격이 가능하다 - 최근 Cisco Router의 경우는 Routin..
IP Spoofing
IP 필터링 우회가 가능하다 - 특정 FTP 서버나 Telnet 서버에서 지정된 IP 만 접근 된다면 다른 IP는 접근이 불가능하다. 이때 접근 가능한 IP로 변조하여 접근을 시도한다. [외부네트워크에서 IP Spoofing] 순서 1. 공격자가 변조할 IP(접근 허용된)의 호스트로 DOS 공격을 하여 응답 불가능 상태로 만든다. 2. 공격자가 IP를 속이고(접근 허용된) 접근할 서버에 SYN 패킷을 보내 연결 요청을 한다. 3. 서버는 SYN 패킷을 받고 패킷이 온 IP(접근 허용된)로 SYN/ACK 패킷을 보낸다. 4. 변조할 IP의 호스트가 정상적이라면 처음에 SYN 을 보낸적이 없기 때문에 RST 패킷을 보내겠지만, 현재 공격자가 DOS 공격을 하고있기때문에 RST 패킷을 보내지 못한다. 5. 공..
STP 공격 / 방어
[설명] 공격자가 Priority를 낮추거나 MAC 주소를 낮춰 공격자 자신이 Root Switch 라는 STP 메세지를 날려 모든 패킷들이 공격자 자신을 지나가도록 하여 스니핑 또는 중간자 공격을 할수있다 [공격] Backtrack - # yersinia -G 1. Root Guard (공격당하면 모든 포트를 블락시키고, 공격이 멈추면 자동으로 모든 포트를 정상 가동한다) - Root Switch 를 절대 뺏지기 않겠다. Root Switch 를 줄 빠엔 모든 통신을 블락킹 하겠다. (극단적으로 통신을 모두 끊어버림) 공격이 멈추면 다시 정상 복구 된다 [설정] # interface range ethernet 0/1 - 2 # spanning-tree guard root [확인] # debug span..
[공격 형태] ARP Spoofing 으로 GW 를 속이고, Fragrouter 로 패킷 포워딩 하고, DNS Spoofing 으로 DNS 를 속여서 원하는 사이트로 접근 유도한다 [공격 순서] Web Site & Server 구축(가짜 사이트 제작및 서버 구축) ARP Spoofing Forwording Hosts 생성 (DNS 캐쉬 정보를 넣는다) DNS Spoofing [공격 방법] 양식 # dnsspoof [-i interface] [-f hosts file] # dnsspoof -i eth1 -f hosts [실습] Web Site & Server 구축 # vi /etc/var/www/index.html 수정 # /etc/init.d/apache2 restart ARP Spoofing # arp..
[설명] CDP 정보를 플러딩 시켜 스위치에게 과도한 CDP정보를 전달한다 (DOS 공격) 그럼 스위치는 CDP 정보 받는걸로 과부하가 걸리게 되고 여러 공격 장비에서 공격시 스위치는 다운된다 [취약점] 1) 공격자에게 스위치 정보를 노출시킨다 2) 공격자가 가짜 장비 정보를 전달하거나 혹은 CDP Flooding 공격으로 장비에게 부하를 줄 수 있다 [방어 방법] 1) 평소에 CDP 를 비활성화 시킨다 # no cdp run 2) 특정 인터페이스에 CDP를 비활성화 시킨다 # interface fastethernet 1/2 # no cdp enable