Time for Security

 안녕하세요.

 이번 포스팅은 Sniffing에 대한 내용입니다.

 네트워크 해킹의 가장 기본적인 형태라고 볼 수 있는 공격인데요.

 이번 실습에서는 랜카드로 들어오는 모든 신호를 감시해 다른 이의 패킷을 관찰해볼거에요.

 그저 감시하는 공격이기 때문에 수동적인 공격에 속합니다.

 실습으로 들어가기 전에 windows 7은 희생자이며, kali는 공격자입니다.

 그리고 무작정 실습을 진행하고, 따라하기 보다는 상황을 알면 더 이해가 쉽겠죠? 

 이번 Sniffing 공격의 개요를 미리 말씀드리면, 사용자가 사이트에 접속해서 로그인하는 패킷을 wireshark로 잡아 ID와 비밀번호를 알아내는 실습입니다.

 그럼 바로 실습으로 들어가보도록 하겠습니다. 

 우선 kali에서 wireshark를 실행시켜줍니다.

 아까 전에 말씀드렸듯이 kali는 공격자입니다.

 패킷을 훔쳐보기 위해 wireshark를 동작시켜주는거에요.

 wireshark를 실행시킨 후, 인터페이스를 골라 들어가줍니다.

 저는 eth0이네요.

 kali에서 인터넷이 제대로 되고 있다면 이처럼 패킷이 잡힐 겁니다.

 만약 잡히지 않는다면 인터넷 설정을 다시 해주어야해요.

 다음은 windows 7을 실행시켜줍니다.

 물론, windows 7은 회생자입니다.

 제가 다니고 있는 kitri 홈페이지로 접속해보겠습니다.

 로그인을 할 수 있는 화면으로 이동해주세요.

 ID는 kitri, 비밀번호도 kitri로 접속해보겠습니다.

 물론, 존재하지 않는 ID이기 때문에 위와 같은 화면이 나올거에요.

 하지만 실습을 진행하는데는 문제되지 않습니다.

 그 이유는 kitri 홈페이지에서 이 ID가 잘못됐다는 것을 판정하기 위해서는 서버로 우리가 입력한 ID와 비밀번호를 보냈기 때문이죠.

 따라서, 우리는 이 지어낸 ID와 비밀번호의 패킷을 훔쳐볼 수 있게되는 거에요. 

 그럼 다시 kali로 돌아와볼까요?

 kali는 계속해서 Sniffing중이기 때문에 정지 버튼을 눌러 멈춰줍니다.

 실수로 정지 버튼 누르는 사진을 미쳐 찍지 못했는데요.

 좌측 상단의 File 밑에 파란 상어 지느러미의 오른쪽 정사각형 모양이 정지 버튼입니다.

 위에 필터링 창에 http를 입력해줍니다.

 다른 패킷은 볼 필요없이 http 프로토콜만 관찰하면 되기 때문이죠.

 그러고나선 특정 문자열을 검색해줄건데요.

 이 wireshark내에서도 Ctrl + F 가 작동됩니다.

 패킷들에서 찾고 싶은 내용을 빨리 찾을 수 있는 기능이에요.

 제가 찾을 내용은 post 메소드이기 때문에 post라고 입력해줍니다.

 처음에는 String이 아니라 Display Filter로 설정되어 있을텐데요.

 제가 찾을 post 메소드라는 내용은 Info라는 컬럼에 속해있기 때문에 String으로 변환해주는거에요.

 그리고 Find 버튼을 눌러 검색해주다보면 Info쪽에 login과 관련된 내용을 찾아보실 수 있을거에요.

 아마 windows 7에서 별다른 행동없이 바로 kitri 홈페이지로 들어오셔서 로그인을 하셨다면 4~5번 안에 찾으실 수 있을거에요.

 여기까지 잘 따라오셨다면 usrid에 kitri, pwd에 kitri가 입력된 것을 확인하실 수 있을거에요.

 길다면 길고, 짧다면 짧은 실습이 끝났는데요.

 몇가지 더 알아보고 마치도록 하겠습니다.

 오늘 한 실습은 http라고 시작되는 사이트에서 밖에 되지 않습니다.

 https라고 시작되는 사이트의 경우 보안이 적용되어 있기 때문에 이와 같은 Sniffing 방법으로는 패킷을 볼 수 없습니다.

 요즘 대부분의 사이트는 https로 바뀌어가는 추세입니다.

 그리고 또 하나, 오늘 실습이 가능하기 위해서는 같은 네트워크에 있는 패킷만 캡쳐하실 수 있습니다.

 서로 다른 네트워크라면 패킷을 캡쳐하실 수 없어요.

 wireshark에서 아무런 설정없이 다른 컴퓨터의 패킷을 볼 수 있었던 이유는 바로 wireshark는 프로그램 실행시 자동으로 promiscuous mode로 전환되기 때문이랍니다.

 여기까지 오늘의 Sniffing 포스팅이었습니다. 

 ※ 실습은 꼭 가상머신에서 진행해주셔야됩니다. 악용의 경우 본 블로그에서는 절대 책임지지 않습니다.

 안녕하세요.

 이번 포스팅에서는 같은 네트워크에 있는 컴퓨터들끼리 어떻게 스니핑을 할 수 있게되는 지를 살펴볼거에요.

 다시 말해, 스위치 환경에서 스니핑을 하기 위한 방법이라고 볼 수 있겠네요.

 몇 가지 방법이 있는데 하나씩 살펴보도록 하겠습니다. 

 첫번째는 스위치를 허브로 교체 해주는 것 입니다.

 허브 환경에서는 스위치와 달리 모든 패킷을 엿 볼수 있기 때문인데요.

 더 자세히 말씀드리면, 스니핑을 하고 싶은 호스트 일부를 별도의 허브로 구성해주는 것 입니다.

 포스팅에서는 스위치 환경에서라고 했으니 약간 변칙적인 방법일 수도 있겠네요. 

 두번째는 포트 미러링 입니다.

 포트 미러링이란 네트워크 스위치에서 포트를 통과하는 패킷을 감시하기 위해 패킷들을 다른 스위치 포트로 복사하는 방법을 말하는데요.

 보통은 네트워크 진단, 오류 수정 혹은 공격을 차단하는 데 사용하는 방법입니다.

 그렇기 때문에 이 포트 미러링을 이용해 스위치의 특정 포트를 지정한다면 전체 포트의 통신을 볼 수 있게 됩니다.

 세번째는 허빙아웃 입니다.

 이 방법은 스위치가 방금 전의 방법인 포트 미러링이라는 기능을 제공해 주지 않을 때 가장 유용한 방법인데요.

 스위치로 구성된 네트워크 안의 연결들을 해제하고, 허브를 연결해주는 방법입니다.

 이렇게 될 경우 같은 브로드캐스트 도메인에 위치하기 때문에 통신하는 모든 트래픽을 수집할 수 있게 됩니다.

 네번째는 ARP Spoofing 입니다.

 네트워크 공격의 일종인데요.

 잘못된 MAC 정보를 지속적으로 전송해 공격자의 MAC주소가 스위치의 MAC주소라고 착각하게 만드는 공격입니다.

 공격자가 중간에서 패킷을 몰래 훔쳐 본다고 이해하면 될 것 같습니다.

 이 ARP Spoofing은 제가 직접 만든 실습 자료가 있는데요. 

 나중에 시간이 되면 올려보도록 하겠습니다.

 여기까지 스위치 환경에서의 스니핑 방법이었습니다.

 오늘 소개해드린 방법 이외에도 탭장비를 이용한 스니핑, ICMP Redirect, Switch Jamming 등의 방법이 있답니다.