FCS | Data | Type 0x0800 ip 0x0806 arp 16bit (2byte) | S.m 6byte | d.m 6byte | >>preamble 8byte |
# 스위치 방식
Cut & through
안정성이 떨어진다.(오류체킹을 안한다)
처리속도가 빠르다. (네이버같은 곳)
Store & forward
저장하고 체크하고 넘겨준다.(오류발견시 스위치가 그냥 버림)
안정성이 높다.(파일서버, DB서버)
Fragment Free : 64byte 비트까지만 보고 넘김.
ARP 헤더구조
ARP (address Resolution Protocol)
상대방에 해당하는 MAC address를 찾아올 때 출발하는 녀석이다.
실습
정상패킷을 확인한다.
ARP 0806 |
|
ARP 0806 |
|
ICMP 0800 | |
ICMP 0800 |
|
ARP spoofing
ARP | 1 0800 6 4 2 |
S.M : H | |
S.I 200. 254 | |
D.M : V | |
D.I : 200.5 | |
열기 버튼을 누르면 이렇게 한다.
2분이 지나면 지워지기에 계속해서 보낸다.(window기준)
탐지 : ARP Reply 패킷의 급증을 확인한다.
롬라이터기 /// mac주소를 바꿀수있다.
Cache : 이전에 학습된 MAC주소 등이 기억됨
Negative cache : 상대방 맥이 바뀌면 arp테이블과 다르게 존재함
바뀐 컴퓨터는 자신이 1.1.1.2인데 mac바꼈으니까 바꾸라고 reply ARP(2)를 보낸다.
Hack 200.72
Victim 200.73
## ARP reply만 보고 싶을 때 wire
((arp.src.proto_ipv4==200.200.200.254)&&(arp.dst.proto_ipv4==200.200.200.73)&&(arp.opcode==2))||((arp.src.proto_ipv4==200.200.200.73)&&(arp.dst.proto_ipv4==200.200.200.254)&&(arp.opcode==2))
# 254주소가 바뀐 것을 보여줌
((arp.src.proto_ipv4==200.200.200.254&&arp.dst.proto_ipv4==200.200.200.[victim])&&(arp.opcode==2))
# victim(200.73)가 바꼈다고 254에게 뻥침
((arp.src.proto_ipv4==200.200.200.254&&arp.dst.proto_ipv4==200.200.200.[victim])&&(arp.opcode==2))
실제 확인해보면 공격자맥으로 희생자 아이피로 게이트웨이에게 보낸다.
정보를 자기가 받아옴
<-Gateway : 게이트웨이에게만 뻥쳐서 나를 거쳐서 victim에게 들어가게 함
->Gateway : victim에게만 뻥쳐서 나를 거쳐서 gateway에게 감
스니핑은 도청하고 기다리는 것이다.(수동적 공격)
리플라이 확인
툴만들 때
메커니즘
- 해커가 게이트웨이 맥을 알아오기 위해 ping 111.111.111.111을 친다.
- 해커가 정상적인 게이트웨이 정보로 victim에 writing 시킨다.
- -게이트웨이에게 자기가 보내기.
-희생자에게 자기가 보내기.
Snoopspy는 우리나라 사람이 만듬.
Cain - 다양한 기능이있다. Arp snooping, DNS snooping.
암호학 공부함
케인(해킹툴)
윈2003 Keroro2424.
Arp spoofing 거는거 까지함.
ARP cache poisionning -- ARP 케시 테이블을 조작하는 것이다. (arp 케시값에 독약을 먹인다.)
Poision = 오염시키다.
데이터를 내게 오게 하는 것.
APR = Arp poison router
FAKE google
1) 2003에서 FAKE_google을 받는다.
2)압축해제
3)vm실행
4)login-> administrator/keroro2424.
5)IP주소 ->본인주소 IP
시작->관리도구->IIS->웹사이트에서 test 우클릭(속성) -> 여기서 본인 IP 입력.
6)xp에서 http://2003(fake google)의 아이피 주소 입력시 안보임
7)ftp://200.2. =>fakegoogle source폴더에 파일 다 받아서
c:\www에 모두 다 집어넣는다.
8)다시 xp에서 http://2003 ip입력
인터넷옵션의 -> 보안탭에서 낮추면된다.
좌측에 있는 녀석이 우측으로 갈 때 나한테 오도록 하겠다!!!
Http를 클릭하고 password를 보면 뜬다.
Victim이 Yahoo로 치면 naver로 들어가게 된다.
- Ipconfig /flushdns == dns케쉬를 날리는 것
- Udp는 신뢰성이 없고 연결지향이 아니기에 이런일이 생긴다.
mssql
윈7에서 인증서 확인
Https는 암호화를 한다.
포털 사이트는 암호화통신을 한다.
인증서를 케인이바꿔치기한것이다. 아니오를 눌러야 케인이 보낸 가짜 인증서로 암호화가 되지 않는다.
'웹 보안 및 네트워크보안 전문가' 카테고리의 다른 글
| 6일차, DES 암호화 과정 (0) | 2013.06.15 |
|---|---|
| 4일차, 2계층 Frame과 3계층 ARP 패킷분석 (0) | 2013.06.14 |
| 3일차, 네트워크 구조와 ping이 나가는 과정 (0) | 2013.06.14 |
| 2일차. 네트워크, 각 아이피 주소의 의미 (0) | 2013.06.14 |
| 1일차 네트워크 리뷰와 ARP snoofing 원리 (0) | 2013.06.14 |